사이트 간 요청 위조를 사용하여 사용자 이름을 변경한다.
CSRF(Cross-Site Request Forgery, 사이트 간 요청 위조)란 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위를 특정 웹사이트에 요청하게 하는 공격이다. 특정 웹사이트가 사용자의 웹 브라우저를 신용하는 상태를 노린 것이다.
우선 임의의 사용자로 로그인한다. 이 사용자가 공격을 받는 대상이 된다.
이제 브라우저에 사용자에 대한 정보가 저장되었다. 문제에서 주어진 HTML 에디터를 통해 새로운 HTML 페이지를 만들고, 다음과 같이 입력한다.
사용자의 이름을 변경하는 요청을 보내서 성공적으로 CSRF 공격을 수행한 것을 확인할 수 있다.
CSRF 공격을 예방하기 위해서는 웹브라우저의 보안 업데이트를 최신으로 유지하며, 교차 사이트 공격을 막을 수 있는 브라우저의 보안 기능을 활성화한다.