Kazalo:
- Opredelitev - Kaj pomeni ponarejanje zahtevkov med spletnimi stranmi (CSRF)?
- Techopedia razlaga ponarejanje zahtevkov med spletnimi stranmi (CSRF)
Opredelitev - Kaj pomeni ponarejanje zahtevkov med spletnimi stranmi (CSRF)?
Ponarejanje zahtevkov med spletnimi stranmi (CSRF) je vrsta izkoriščanja spletnega mesta, ki se izvaja z izdajo nepooblaščenih ukazov zaupanja vrednega uporabnika spletnega mesta. CSRF izkorišča zaupanje spletnega mesta za brskalnik določenega uporabnika v nasprotju s skriptom med spletnimi stranmi, ki izkorišča zaupanje uporabnika v spletno mesto.
Ta izraz je znan tudi kot vožnja po seji ali napad z enim klikom.
Techopedia razlaga ponarejanje zahtevkov med spletnimi stranmi (CSRF)
CSRF ponavadi kot ukazno točko uporabi ukaz "GET" brskalnika. Ponarejevalci CSR uporabljajo oznake HTML, kot je "IMG" za vbrizganje ukazov na določeno spletno mesto. Določen uporabnik tega spletnega mesta se nato uporablja kot gostitelj in nenamerni sostorilec. Pogosto spletno mesto ne ve, da je napadeno, saj zakoniti uporabnik pošilja ukaze. Napadalec lahko izda zahtevo za nakazilo sredstev na drug račun, dvigne več sredstev ali v primeru PayPala in podobnih spletnih mest pošlje denar na drug račun.
Napad CSRF je težko izvesti, ker se mora zgoditi več stvari, da lahko uspe:
- Napadalec mora ciljati na spletno mesto, ki ne preveri glave napotitelja (kar je običajno) ali uporabnika / žrtev z brskalnikom ali vtičem, ki omogoča ponarejanje napotnika (kar je redko).
- Napadalec mora na ciljnem spletnem mestu najti obrazec, ki mora biti sposoben, kot je spreminjanje poverilnic za prijavo na e-poštni naslov žrtve ali prenos denarja.
- Napadalec mora določiti pravilne vrednosti za vse vnose obrazca ali URL-ja. Če mora biti kateri od njih tajnih vrednosti ali osebnih številk, ki jih napadalec ne more natančno uganiti, napad ne bo uspel.
- Napadalec mora uporabnika / žrtev zvabiti na spletno stran z zlonamerno kodo, medtem ko je žrtev prijavljena na ciljno mesto.
Recimo, da Oseba A brska po svojem bančnem računu, ko je tudi v klepetalnici. V klepetalnici je napadalec (oseba B), ki izve, da je oseba Bank A tudi prijavljena na bank.com. Oseba B vabi osebo A, da klikne na povezavo za smešno sliko. Oznaka "IMG" vsebuje vrednosti za vnose obrazca bank.com, ki bodo dejansko prenesli določen znesek iz računa osebe A na račun osebe B. Če bank.com pred prenosom sredstev nima sekundarne overitve za osebo A, bo napad uspešen.
