Sadržaj:
- Definicija - Što znači krivotvorenje zahtjeva za više web lokacija (CSRF)?
- Techopedia objašnjava krivotvorenje zahtjeva za više stranica (CSRF)
Definicija - Što znači krivotvorenje zahtjeva za više web lokacija (CSRF)?
Krivotvorenje zahtjeva na više mjesta (CSRF) vrsta je iskorištavanja web stranica koja se provodi izdavanjem neovlaštenih naredbi od pouzdanog korisnika web stranice. CSRF koristi povjerenje web stranice za preglednik određenog korisnika, za razliku od skriptiranja na više stranica, što iskorištava povjerenje korisnika u web mjesto.
Ovaj termin je također poznat kao vožnja sesije ili napad jednim klikom.
Techopedia objašnjava krivotvorenje zahtjeva za više stranica (CSRF)
CSRF obično koristi naredbu "GET" preglednika kao mjesto iskorištavanja. CSR falsifikatori koriste HTML oznake poput "IMG" za ubrizgavanje naredbi na određeno web mjesto. Pojedini korisnik te web stranice tada se koristi kao domaćin i nesvjestan saučesnik. Često web stranica ne zna da je napadnuta, jer legitimni korisnik šalje naredbe. Napadač može izdati zahtjev za prijenos sredstava na drugi račun, povući više sredstava ili, u slučaju PayPala i sličnih web lokacija, poslati novac na drugi račun.
CSRF napad je teško izvesti jer se moraju dogoditi brojne stvari da bi uspio:
- Napadač mora ciljati ili web mjesto koje ne provjerava zaglavlje preporuke (što je uobičajeno) ili korisnika / žrtvu s preglednikom ili dodatnom programskom pogreškom koji omogućuje prevaravanje preporuke (što je rijetko).
- Napadač mora pronaći odrednicu obrasca na ciljnoj web stranici koja mora biti sposobna za nešto poput promjene vjerodajnice za prijavu na e-adresu žrtve ili obavljanja transfera novca.
- Napadač mora odrediti ispravne vrijednosti za sve unose oblika ili URL-a. Ako se za bilo koji od njih traži da budu tajne vrijednosti ili ID-ovi za koje napadač ne može točno pogoditi, napad neće uspjeti.
- Napadač mora namamiti korisnika / žrtvu na web stranicu sa zlonamjernim kodom dok je žrtva prijavljena na ciljno mjesto.
Na primjer, pretpostavimo da osoba A pregledava svoj bankovni račun dok je također u sobi za chat. U chat sobi se nalazi napadač (Osoba B) koji saznaje da je i osoba A također prijavljena na bank.com. Osoba B namamljuje osobu A da klikne na vezu za smiješnu sliku. Oznaka "IMG" sadrži vrijednosti za unose obrazaca bank.com, koji će učinkovito prenijeti određeni iznos s računa osobe A na račun osobe B. Ako bank.com nema sekundarnu provjeru autentičnosti za osobu A prije prijenosa sredstava, napad će biti uspješan.