현재 위치: > 최신 기사 목록> CSRF에 대한 방어를 강화하기 위해 Session_Register_Shutdown ()을 사용합니까?

CSRF에 대한 방어를 강화하기 위해 Session_Register_Shutdown ()을 사용합니까?

M66 2025-06-06

웹 애플리케이션의 보안 보호 중에서 CSRF (Cross-Site Request Grespery)는 가장 일반적이고 널리 영향을받는 공격 방법 중 하나입니다. 현대 프레임 워크는 일반적으로 CSRF 보호 메커니즘을 통합하지만 기본 PHP를 사용하여 개발 된 시스템에 대해 보호 정책을 수동으로 구현해야합니다. 이 기사는 PHP의 Session_Register_Shutdown () 기능을 통해 CSRF 방어에서 세션의 일관성과 보안을 향상시키는 방법을 살펴 봅니다.

CSRF 공격 소개

CSRF (크로스 사이트 요청 위조) 공격은 공격자가 신뢰할 수있는 웹 사이트에 로그인 한 사용자를 유도하여 의도하지 않은 요청을 웹 사이트에 알지 못하고 웹 사이트에 보내는 경우입니다. 이로 인해 사용자 데이터가 변조되고 민감한 작업이 트리거되는 것과 같은 보안 문제가 발생할 수 있습니다.

일반적인 방어 방법은 다음과 같습니다.

  • CSRF 토큰을 사용하고 확인하십시오

  • 참조 또는 원점 헤더를 확인하십시오

  • 요청 방법 제한 (예 : 강제 게시물)

  • Samesite 쿠키 속성을 설정하십시오

그러나 CSRF 방어의 중요한 점은 종종 간과됩니다 : 세션 상태의 일관성 제어. 현재 Session_Register_Shutdown () 함수는 고유 한 역할을 수행 할 수 있습니다.

session_register_shutdown () 란 무엇입니까?

SESSION_REGISTER_SHUTDOWN ()은 스크립트 실행이 종료 될 때 SESSION을 자동으로 닫기 위해 PHP 5.4에 도입 된 함수입니다. 이것은 전통적인 session_write_close () 와 유사하지만 더 안전하고 신뢰할 수 있습니다. 스크립트 수명주기가 끝날 때 세션 데이터가 자동으로 작성 및 닫히도록하여 세션 데이터가 예외적 인 상황에서 저장되거나 덮어 쓰지 않는 문제를 피합니다.

Session_Register_Shutdown () 및 CSRF 방어 관계

CSRF 공격의 위험은 주로 공격자가 사용자의 기존 세션을 사용하여 민감한 작업을 수행 할 수 있기 때문입니다. 악성 스크립트 또는 여러 동시 요청에 의해 세션 데이터가 손상되면 방어 메커니즘을 우회 할 수 있습니다.

Session_Register_Shutdown () 사용을 사용하면 다음과 같이 할 수 있습니다.

  1. 세션 원자 : 여러 요청의 동시 실행으로 인한 세션 데이터 레이스 방지.

  2. CSRF 토큰이 손실되지 않도록 : 스크립트 종료 및 논리적 점프 (예 : 헤더 리디렉션)의 세션 작성을 확인하여 CSRF 토큰의 신뢰성을 보장합니다.

  3. 토큰 회전의 안정성 향상 : 토큰 업데이트 프로세스 중에 세션 데이터가 손상되지 않도록하고 토큰의 적시 제어 능력을 향상시킵니다.

실제 사례

강화하기 위해 Session_Register_Shutdown () 과 결합 된 양식 제출 페이지에서 CSRF 토큰 메커니즘을 사용한다고 가정 해 봅시다.

 <?php
session_start();
session_register_shutdown();

// 초기화 또는 확인 CSRF Token
if (empty($_SESSION['csrf_token'])) {
    $_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}

if ($_SERVER['REQUEST_METHOD'] === 'POST') {
    if (!hash_equals($_SESSION['csrf_token'], $_POST['csrf_token'] ?? '')) {
        die('CSRF 확인이 실패했습니다');
    }

    // 프로세스 양식 데이터
    // ...
}

// 양식을 생성하십시오
?>
<form method="POST" action="https://m66.net/form-handler.php">
    <input type="hidden" name="csrf_token" value="<?php echo htmlspecialchars($_SESSION['csrf_token']); ?>">
    <input type="text" name="data">
    <input type="submit" value="제출하다">
</form>

이 예에서는 exit () , die () 또는 http jump 문이 코드 중간에 나타나더라도 Session_Register_Shutdown ()이 등록되므로 스크립트 끝에서 세션을 여전히 올바르게 저장할 수 있습니다. 이러한 방식으로 논리적 처리에서 CSRF 토큰의 효과가 보장됩니다.

요약

Session_Register_Shutdown ()은 CSRF 방어를 위해 설계된 기능이 아니지만 안전한 프로그래밍 연습에서 세션 데이터를 안정적으로 작성하는 방법을 제공하여 CSRF 토큰 메커니즘의 신뢰성을 간접적으로 향상시킵니다. 특히 여러 리디렉션, 예외 중단 및 동시 요청과 같은 복잡한 상호 작용을 무시할 수없는 웹 응용 프로그램에서.

이러한 방식으로, 우리는 더 안전한 세션 제어를 달성 할뿐만 아니라 전체 애플리케이션의 CSRF 방어 기능에 대한 견고한 후원을 제공합니다. PHP 기본 메커니즘을 사용하여 보안 보호를 달성하는 것은 응용 프로그램 보안을 향상시키는 데 중요한 단계입니다.

관련 콘텐츠