[회원 정보 수정 페이지]
개인정보 수정같은 경우에 2차인증이 없으면 CSRF를 통해 언제든 개인정보를 공격자가 원하는 정보로 변경이 가능하기 때문에, (게시글 form 태그로 코드를 구현해서, 혹은 GET 방식으로) 이차인증으로 비밀번호 재검증을 하거나 CSRF 토큰을 발급해 사용해야한다. 나는 개인정보 수정 폼에 2차인증으로 비밀번호 재인증을 추가하였다.
세션변수를 활용해서 2차인증을 구현했다.
//비밀번호 재확인 폼
<input type="password" size="20" name="pw_chk" placeholder="비빌번호 재확인">
//if로 대조
if($_POST['pw_chk']==$_SESSION['user_pw'])
2021.12.05 - [[모의해킹]실습 💻/Burp suite Academy] - CSRF 취약점 실습
CSRF 취약점 실습
## — CSRF 토큰 검증 미흡 https://portswigger.net/web-security/csrf/lab-token-validation-depends-on-request-method Lab: CSRF where token validation depends on request method | Web Security Acad..
myungjjju.tistory.com
'개발 > PHP' 카테고리의 다른 글
| [시큐어 코딩] PHP - 인증 취약점을 막기 위한 세션 변수 사용 (0) | 2022.02.19 |
|---|---|
| [시큐어 코딩] PHP - XSS 대응방안 - htmlspecialchars() 함수 사용 (0) | 2022.02.19 |
| [시큐어 코딩] PHP - SQLI 대응방안 Prepare Statement - like 함수편 (0) | 2022.02.19 |
| [시큐어 코딩] PHP - SQLI 대응방안 Prepare Statement (0) | 2022.02.18 |
| [CSS] 디자인 - 웹페이지 크기에 따라 움직이는 객체 고정 (0) | 2022.02.17 |
