CSRF 토큰 부재

설명

애플리케이션이 보안 애플리케이션 토큰이나 SameSite 쿠키 지시어를 사용하여 교차 사이트 요청 위조(CSRF)에 대해 보호하지 못했습니다.

공격자는 타사 사이트에서 링크나 폼을 만들고 인증된 피해자가 이를 접근하도록 속임으로써 취약점을 이용할 수 있습니다.

모든 세션 쿠키에 SameSite=Strict 속성을 설정하는 것을 고려하세요. 그러나, 이것이 다른 매체에서 링크를 공유할 때 사용성에 영향을 미칠 수 있음을 유의해야 합니다.

RFC의 최상위 내비게이션 섹션에 설명된 대로 두 개의 쿠키 기반 접근 방식을 사용하는 것이 권장됩니다.

애플리케이션이 일반적인 프레임워크를 사용하는 경우, Anti-CSRF 보호가 내장되어 있을 가능성이 있지만 활성화해야 할 수도 있습니다. 세부 사항은 애플리케이션 프레임워크 문서를 참조하세요.

위의 방법이 모두 적용되지 않는 경우, 강력히 타사 라이브러리를 사용하는 것이 권장됩니다.

안전한 Anti-CSRF 시스템을 구현하는 것은 상당한 투자이며 올바르게 수행하기 어렵습니다.

ID	집계	CWE	유형	위험
352.1	true	352	수동	중간

GitLab 원문 보기

모든 GitLab Tier와 기능을 보거나 업그레이드하려면
가격 페이지를 확인하세요.

GitLab을 무료로 체험해 30일 동안 모든 기능에
액세스해 보세요.

기능을 설정하거나 사용하는 데 문제가 있으면
인포그랩에 지원을 요청하세요.
(GitLab 구독에 따라 다름)

지원 요청하기

인포레터에서 최신 DevOps 트렌드를 격주로 만나보세요!