CSRF 공격(Cross Site Request Forgery)은 웹 어플리케이션 취약점 중 하나로 인터넷 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 특정 웹사이트에 요청하게 만드는 공격이다.
CSRF 공격은 HTML 태그만을 이용해 공격하는 방식이기 때문에 GET Method의 API가 공격 대상이다.
또한 그 공격으로 인해 DB안에 Data가 변경되는 경우가 공격 대상이다.
해당 프로젝트에서 GET Method라면 취약점이 될 수 있는 API 이다.
| 기능 | URL | Method |
|---|---|---|
| 회원 정보 수정 | /user | PUT |
| 회원 탈퇴 | /user | DELETE |
| 권한 업그레이드 | /admin/upgradeAuth/{username} | PATCH |
| 기능 | URL | Method |
|---|---|---|
| 상품 등록 | /register/product | POST |
| 상품 정보 수정 | /register/product/{id} | PUT |
| 상품 삭제 | /register/product/{id} | DELETE |
| 상품 재고 추가 | /register/product/add_stock | PUT |