test: CSRF 공격 매트릭스 검증 자동화 #145
Description
근본 목적
Cross-site 도메인 구조에서 SameSite 쿠키에 의존할 수 없는 조건을 전제로, 현재 Origin/Referer 기반 CSRF 필터가 실제 공격 트래픽을 차단하고 정상 트래픽을 통과시키는지 재현 가능한 자동화 실험으로 검증한다.
비목적
JWT/Redis JTI 구조 변경, 인증 설계 변경, CSRF 정책 로직 리팩터링은 이번 작업 범위에서 제외한다.
성공 기준
- CSRF 공격 매트릭스(정상/공격) 자동 실행 스크립트를 제공한다.
- 각 시나리오에 대해 요청 헤더(Origin/Referer/쿠키)와 응답 상태/코드를 수집한다.
- 차단 정확도와 오차단을 TP/FN/FP/TN으로 산출한다.
- 이슈/PR 본문에 현행 정책 한계(허용 Origin 불일치, Referer 의존 경계조건)를 명시한다.
수행할 작업
- CSRF 공격 매트릭스 정의 파일 작성
- Docker 기반 실행 절차 문서 작성
- CSRF 시나리오 실행 스크립트 작성
- TP/FN/FP/TN 집계 스크립트 작성
- 결과 해석 템플릿(문제-가설-측정-한계) 문서화
참고 및 리스크
- CORS 허용 목록과 CSRF trusted 목록의 불일치가 있을 경우 정상 요청이 차단될 수 있다.
- 브라우저 동작(쿠키 자동 전송, Origin/Referer 부착) 재현이 불완전하면 결과 해석이 왜곡될 수 있다.