Falšovanie žiadostí na viacerých stránkach (CSRF)

Autor: Lewis Jackson
Dátum Stvorenia: 12 Smieť 2021
Dátum Aktualizácie: 23 V Júni 2024
Anonim
Falšovanie žiadostí na viacerých stránkach (CSRF) - Technológie
Falšovanie žiadostí na viacerých stránkach (CSRF) - Technológie

Obsah

Definícia - Čo znamená falšovanie žiadostí na viacerých stránkach (CSRF)?

Falšovanie žiadosti medzi servermi (CSRF) je typ zneužívania webovej stránky, ktorý sa vykonáva vydaním neautorizovaných príkazov od dôveryhodného používateľa webovej stránky. CSRF využíva dôveru webovej stránky pre konkrétny prehliadač používateľov, na rozdiel od skriptovania na viacerých stránkach, ktoré využíva dôveru používateľa pre webovú stránku.

Tento výraz sa označuje aj ako sedenie na koni alebo útok jedným kliknutím.


Úvod do programu Microsoft Azure a Microsoft Cloud V tejto príručke sa dozviete, o čom všetko je cloud computing a ako vám môže Microsoft Azure pomôcť migrovať a podnikať z cloudu.

Techopedia vysvetľuje falšovanie žiadostí na viacerých stránkach (CSRF)

CSRF zvyčajne používa ako miesto zneužitia príkaz „GET“ prehliadača. Klamári CSR používajú značky HTML ako „IMG“ na injektovanie príkazov na konkrétnu webovú stránku. Konkrétny používateľ tejto webovej stránky sa potom použije ako hostiteľ a nevedomý spolupáchateľ. Webová stránka často nevie, že je pod útokom, pretože príkazy vydáva oprávnený užívateľ. Útočník by mohol podať žiadosť o prevod prostriedkov na iný účet, výber ďalších prostriedkov alebo v prípade PayPal a podobných stránok peniaze na iný účet.

Útok CSRF je ťažké vykonať, pretože na to, aby bol úspešný, je potrebné urobiť niekoľko vecí:


  • Útočník musí zacieliť buď na webovú stránku, ktorá nekontroluje hlavičku sprostredkovateľa (ktorá je bežná), alebo na používateľa / obeť s prehliadačom alebo chybou doplnku, ktorá umožňuje spoofing sprostredkovateľa (čo je zriedkavé).
  • Útočník musí na cieľovej webovej stránke nájsť formuláre, ktoré musia byť schopné niečo ako zmena prihlasovacích údajov obetí alebo vykonávanie prevodov peňazí.
  • Útočník musí určiť správne hodnoty pre všetky vstupy do formulárov alebo adries URL. Ak sa od niektorej z nich vyžaduje, aby boli tajnými hodnotami alebo identifikátormi, ktoré útočník nedokáže presne uhádnuť, útok zlyhá.
  • Útočník musí prilákať používateľa / obeť na webovú stránku so škodlivým kódom, kým je obeť prihlásená na cieľovú stránku.

Predpokladajme napríklad, že osoba A prehľadáva svoj bankový účet, aj keď je v chatovacej miestnosti. V diskusnej miestnosti sa nachádza útočník (osoba B), ktorý zistí, že osoba A je tiež prihlásená na stránke bank.com. Osoba B láka osobu A, aby klikla na odkaz pre vtipný obrázok. Značka IMG obsahuje hodnoty pre vstupy formulárov bank.com, ktoré skutočne prevedú určitú sumu z účtu osoby A na účet osoby B. Ak bank.com nemá sekundárnu autentizáciu pre osobu A pred prevedením prostriedkov, útok bude úspešný.