저는 최대한 쉽게 설명 드린다고 했는데 제 한계군요.
좀 더 쉽게 설명해 주실분 나오실 겁니다.
↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓

쉽게 관리자는 아무나 올린 플래시 따위는 보지말아라

딩동댕
관리자의 아이디로는 게시물을 아예 보지말아라

공통파일에 세션데이터 생성시에 ip 를 넣어둔후
각 페이지마다 세션ip 와 현재 ip 를 비교하여 다르다면 걍 블럭시키는것도.

ci 로 개발해서 쓰니 이런 csrf 는 걍 무사통과 -_-;

XSS 및 CSRF 방식의 공격에 대한 대비로 패치가 있었던 적이 있습니다. 최근의 패치는 그와 관련된 것인데 flash를 이용하여 XSS및 CSRF공격을 할 수 있다는 것이 요지입니다.

보통 이미지나 링크를 이용해서 XSS및 CSRF공격을 해왔는데 이런 것들은 코드를 수정해서 공격을 무력화했지만 Flash는 공격을 가하는 소스를 Flash안에 삽입을 할 수 있기 때문에 공격을 무력화할 수 없습니다. 그렇기 때문에 XSS 및 CSRF공격을 하는 소스를 담고 있는 Flash를 관리자가 볼 경우 그대로 그 공격에 노출될 수 있게 됩니다.

물론 다른 사용자가 보아도 그 사용자의 포인트나 혹은 다른 부분을 수정할 수 있는 문제가 있지만 그렇다고 모든 플래쉬를 다 막으면 웹이 재미가 없기 때문에 급한 관리자 계정만 막는 것이라고 할 수 있겠죠.

XSS 및 CSRF공격을 무력화할 수 있는 방법은 아직 완전하지 못합니다. 특히 플래쉬 공격은 무방비라고 할 수 있습니다. XSS는 막을 수 있는 방법이 없고 더 위험한 CSRF공격을 막을 방법을 근본적으로 생각해야 하는데 그것은 관리와 관련된 모든 Form을 POST방식으로 전환하고 또한 $_POST 사용을 해야 합니다. 또한 모든 폼은 관리자가 직접 들어가서 생성하는 방식으로 해서 보안 토큰을 생성해서 만일 보안 토큰이 없거나 일치하지 않으면 해당 폼에 대한 업데이트를 막는 일이 우선적일 것 같습니다.

일반적으로 CSRF공격은 폼을 우회하는 것인데 보안 토큰을 생성하게 되면 우회 경로를 어느정도 차단하는 효과가 있습니다.

제일 좋은 방법은 플래시가 view에서 바로 실행되지 않게 조치를 취하는 것이 관건이겠네요. 어제 관련해서 이런저런걸 만져 봤더니 플래시만으로 악용할 수 있는 것들이 많더라구요.

좋은 글 잘 봤습니다.

XSS에 대한 예제는 http://eyeonsecurity.org/advisories/flash-demo/demo1.html 를 클릭해서 조금 기다리면 사용자 쿠키와 관련 예제를 보여줍니다. 만일 쿠키만 의존하는 사이트라면 플래쉬를 이용해서 원하는 쿠키를 탈취해서 자기 사이트에 전송하는게 가능하겠죠.

관련 pdf 파일을 그냥 참조적으로 보라고 경로를 올립니다:
http://www.blackhat.com/presentations/bh-dc-10/Bailey_Mike/BlackHat-DC-2010-Bailey-Neat-New-Ridiculous-flash-hacks-slides.pdf

그냥 파일 덮으면 땡? ㅡ.ㅡ;;