Съдържание:
- Дефиниция - Какво означава фалшифициране на искания между сайтове (CSRF)?
- Техопедия обяснява фалшифициране на искания за различни сайтове (CSRF)
Дефиниция - Какво означава фалшифициране на искания между сайтове (CSRF)?
Подправянето на заявки за различни сайтове (CSRF) е вид експлоатация на уебсайтове, осъществявана чрез издаване на неоторизирани команди от надежден потребител на уебсайт. CSRF използва доверието на уебсайта за браузър на конкретен потребител, за разлика от скриптовете между сайтове, което използва доверието на потребителя към уебсайт.
Този термин е известен още като езда на сесия или атака с едно кликване.
Техопедия обяснява фалшифициране на искания за различни сайтове (CSRF)
CSRF обикновено използва командата "GET" на браузъра като точка на експлоатация. CSR фалшификаторите използват HTML маркери като "IMG", за да инжектират команди в конкретен уебсайт. След това определен потребител на този уебсайт се използва като хост и неволен съучастник. Често уебсайтът не знае, че е под атака, тъй като законен потребител изпраща командите. Нападателят може да издаде искане за прехвърляне на средства в друга сметка, да изтегли повече средства или, в случай на PayPal и подобни сайтове, да изпрати пари на друга сметка.
CSRF атака е трудно изпълнима, тъй като трябва да се случат редица неща, за да успее:
- Нападателят трябва да се насочи или към уебсайт, който не проверява заглавката на препращащия (което е често срещано), или потребител / жертва с браузър или грешка в приставката, която позволява подправяне на реферала (което е рядко).
- Нападателят трябва да намери формуляр за изпращане на формуляр на уебсайта, който трябва да може да промени нещо като промяна на идентификационните данни за вход на имейл адреса на жертвата или извършване на парични преводи.
- Нападателят трябва да определи правилните стойности за всички входове на формуляра или URL адреса. Ако някой от тях трябва да бъде секретни стойности или идентификатори, за които нападателят не може точно да предположи, атаката ще се провали.
- Нападателят трябва да примами потребителя / жертвата на уеб страница със злонамерен код, докато жертвата е влезла в целевия сайт.
Например, да предположим, че Лице A разглежда банковата му сметка, докато е и в чат стая. В чат стаята има нападател (Лице Б), който научава, че Лице А също е влезло в bank.com. Лице Б примамва Лице А да кликне върху връзка за забавно изображение. Маркерът „IMG“ съдържа стойности за входовете на формуляр на bank.com, които ефективно ще прехвърлят определена сума от акаунта на Лице А в акаунта на Лице Б. Ако bank.com няма вторично удостоверяване за Лице А преди да бъдат преведени средствата, атаката ще бъде успешна.
