Vietņu pieprasījuma viltošana (CSRF)

Autors: Lewis Jackson
Radīšanas Datums: 12 Maijs 2021
Atjaunināšanas Datums: 23 Jūnijs 2024
Anonim
CS50 2014 - Week 10
Video: CS50 2014 - Week 10

Saturs

Definīcija - ko nozīmē krāpšana starp vietnēm (CSRF)?

Vietņu savstarpēja pieprasījuma viltošana (CSRF) ir vietnes izmantošanas veids, ko veic, izdodot neatļautas komandas no uzticama vietnes lietotāja. CSRF izmanto vietnes uzticēšanos konkrētam lietotāju pārlūkam, nevis vietņu skriptiem, kas izmanto lietotāju uzticēšanos vietnei.

Šis termins ir pazīstams arī kā izjāde pa sesijām vai uzbrukums ar vienu klikšķi.


Ievads Microsoft Azure un Microsoft Cloud | Šajā rokasgrāmatā jūs uzzināsit, kas ir mākonis skaitļošana un kā Microsoft Azure var palīdzēt jums migrēt un vadīt savu biznesu no mākoņa.

Techopedia izskaidro vietņu pieprasījuma viltošanu (CSRF)

CSRF kā izmantošanas punktu parasti izmanto pārlūkprogrammu komandu “GET”. CSR krāpnieki izmanto HTML tagus, piemēram, “IMG”, lai ievadītu komandas noteiktā vietnē. Konkrēts šīs vietnes lietotājs tiek izmantots kā saimnieks un negribīgs līdzdalībnieks. Bieži vien vietne nezina, ka tā tiek uzbrukta, jo komandas izmanto likumīgs lietotājs. Uzbrucējs var izdot pieprasījumu pārskaitīt līdzekļus uz citu kontu, izņemt vairāk līdzekļu vai, PayPal un līdzīgu vietņu gadījumā, naudu uz citu kontu.

CSRF uzbrukumu ir grūti izpildīt, jo, lai tas gūtu panākumus, ir jānotiek vairākām lietām:

  • Uzbrucējam ir jānovirza vietne, kas nepārbauda novirzītāja galveni (kas ir izplatīta), vai arī lietotājs / upuris ar pārlūkprogrammu vai spraudņa kļūdu, kas ļauj novirzīt novirzītājus (kas ir reti).
  • Uzbrucējam mērķa vietnē jāatrod veidlapas iesniegšana, kurai jāspēj mainīt upuru adreses pieteikšanās akreditācijas datus vai veikt naudas pārskaitījumus.
  • Uzbrucējam ir jānosaka pareizās visu veidlapu vai vietrāžu URL vērtības. Ja kādai no tām jābūt slepenām vērtībām vai ID, kuras uzbrucējs nevar precīzi uzminēt, uzbrukums neizdosies.
  • Uzbrucējam ir jāpievilina lietotājs / upuris uz Web lapu ar ļaunprātīgu kodu, kamēr upuris ir pieteicies mērķa vietnē.

Piemēram, pieņemsim, ka persona A pārlūko savu bankas kontu, atrodoties arī tērzēšanas telpā. Tērzēšanas telpā atrodas uzbrucējs (persona B), kurš uzzina, ka persona A ir pieteicies arī vietnē bank.com. Persona B pievilina personu A noklikšķināt uz saites, lai iegūtu smieklīgu attēlu. Tagā “IMG” ir bankas.com veidlapu ievades vērtības, kas faktiski pārskaitīs noteiktu summu no personas A konta uz personas B kontu. Ja bank.com.com pirms līdzekļu pārskaitīšanas personai A nav sekundāras autentifikācijas, uzbrukums būs veiksmīgs.