Anti-CSRF 토큰 부재

DAST 검사 352.1 - CSRF 방지 메커니즘 부재 탐지

설명 # 애플리케이션이 보안 애플리케이션 토큰 또는 SameSite 쿠키 지시자를 사용하여 크로스 사이트 요청 위조(CSRF)로부터 보호하지 않았습니다. 이 취약점은 공격자가 서드파티 사이트에 링크 또는 폼을 만들고 인증된 피해자가 이를 접근하도록 속임으로써 악용될 수 있습니다. 해결 방법 # 모든 세션 쿠키에 SameSite=Strict 속성을 설정하는 것을 고려하세요. 단, 이 경우 다른 매체를 통해 링크를 공유할 때 사용성에 영향을 줄 수 있습니다. RFC의 최상위 레벨 탐색 섹션에 설명된 것처럼 2-쿠키 기반 접근 방식을 취하는 것이 권장됩니다. 애플리케이션이 일반적인 프레임워크를 사용하는 경우, Anti-CSRF 보호 기능이 내장되어 있지만 활성화가 필요할 수 있습니다. 자세한 내용은 애플리케이션 프레임워크 문서를 참조하세요. 이 두 가지 옵션이 모두 적용 불가능한 경우, 서드파티 라이브러리 사용을 강력히 권장합니다. 안전한 Anti-CSRF 시스템을 구현하는 것은 상당한