Зміст:
- Визначення - Що означає підробка між сайтами (CSRF)?
- "Техопедія" пояснює підробку запитів на різних веб-сайтах (CSRF)
Визначення - Що означає підробка між сайтами (CSRF)?
Підробка міжсайтових запитів (CSRF) - це тип експлуатації веб-сайтів, що здійснюється шляхом видачі несанкціонованих команд від надійного користувача веб-сайту. CSRF використовує довіру веб-сайту до браузера конкретного користувача, на відміну від міжсайтового сценарію, який використовує довіру користувача до веб-сайту.
Цей термін також відомий як їзда на сеансі або атака одним клацанням.
"Техопедія" пояснює підробку запитів на різних веб-сайтах (CSRF)
CSRF зазвичай використовує команду "GET" браузера в якості точки експлуатації. Підробники CSR використовують теги HTML, такі як "IMG", для введення команд на певний веб-сайт. Конкретний користувач цього веб-сайту потім використовується як хост і мимовільний співучасник. Часто веб-сайт не знає, що він піддається атаці, оскільки законний користувач надсилає команди. Зловмисник може надіслати запит на переказ коштів на інший рахунок, зняти більше коштів або, у випадку PayPal та подібних сайтів, переслати гроші на інший рахунок.
Напад CSRF важко здійснити, оскільки для його успіху має відбутися ряд речей:
- Зловмисник повинен орієнтуватися або на веб-сайт, який не перевіряє заголовок реферала (що є загальним), або користувач / жертва з веб-переглядачем або помилкою плагіна, що дозволяє підробляти референт (що рідко).
- Зловмисник повинен знайти подання форми на цільовому веб-сайті, який повинен бути здатний змінити дані про вхід електронної адреси жертви або зробити грошові перекази.
- Зловмисник повинен визначити правильні значення для всіх входів форми або URL-адреси. Якщо будь-який з них повинен бути секретними значеннями або ідентифікаторами, про які зловмисник не може точно здогадатися, атака не вдасться.
- Зловмисник повинен заманювати користувача / жертву на веб-сторінку зі шкідливим кодом, поки жертва входить у цільовий сайт.
Наприклад, припустимо, що особа A переглядає свій банківський рахунок, перебуваючи також у чаті. У кімнаті чату є зловмисник (Особа B), який дізнається, що особа A також зареєстрована на сайті bank.com. Особа Б заманює Особу А, щоб натиснути на посилання, щоб отримати смішне зображення. Тег "IMG" містить значення для вхідних даних форми bank.com, які дозволять ефективно перерахувати певну суму з рахунку Особи A на рахунок особи B. Якщо bank.com не має вторинної аутентифікації для Особи А до переказу коштів, атака буде успішною.
