Kryesore » » Çfarë është falsifikimi i kërkesës në vend?

Çfarë është falsifikimi i kërkesës në vend?

CSRF ose Falsifikimi i Kërkesave Ndër-Site është një dobësi në uebsajt ku një sulmues mund të shkaktojë që një veprim të ndodhë në seancën e një viktime në një uebsajt tjetër. Një nga gjërat që e bën CSRF kaq shumë rrezik është se nuk kërkon as ndërveprim të përdoruesit, gjithçka që nevojitet është që viktima të shikojë një faqe interneti me shfrytëzimin në të.

Këshillë: CSRF në përgjithësi shqiptohet ose shkronjë për shkronjë ose si "surf deti".

Si funksionon një sulm CSRF?

Sulmi përfshin sulmuesin duke krijuar një faqe interneti që ka një metodë për të bërë një kërkesë në një uebsajt tjetër. Kjo mund të kërkojë ndërveprim të përdoruesit, si p.sh. t'i shtyjë ata të shtypin një buton, por gjithashtu mund të jetë pa ndërveprim. Në JavaScript ka mënyra për të bërë që një veprim të ndodhë automatikisht. Për shembull, një imazh me piksel zero me zero nuk do të jetë i dukshëm për përdoruesin, por mund të konfigurohet në mënyrë që "src" e tij të bëjë një kërkesë në një faqe tjetër interneti.

JavaScript është një gjuhë nga ana e klientit, kjo do të thotë se kodi JavaScript ekzekutohet në shfletues dhe jo në server. Falë këtij fakti, kompjuteri që bën kërkesën CSRF është në fakt ai i viktimës. Fatkeqësisht, kjo do të thotë që kërkesa bëhet me të gjitha lejet që ka përdoruesi. Pasi faqja e internetit sulmuese e ka mashtruar viktimën për të bërë kërkesën CSRF, kërkesa është në thelb e padallueshme nga përdoruesi që e bën kërkesën normalisht.

CSRF është një shembull i një "sulmi të hutuar zëvendës" kundër shfletuesit të internetit pasi shfletuesi mashtrohet të përdorë lejet e tij nga një sulmues pa ato privilegje. Këto leje janë shenjat tuaja të sesionit dhe të vërtetimit në uebsajtin e synuar. Shfletuesi juaj automatikisht përfshin këto detaje në çdo kërkesë që bën.

Sulmet CSRF janë disi komplekse për t'u rregulluar. Para së gjithash, uebfaqja e synuar duhet të ketë një formular ose URL që ka efekte anësore, si p.sh. fshirja e llogarisë tuaj. Sulmuesi më pas duhet të krijojë një kërkesë për të kryer veprimin e dëshiruar. Së fundi, sulmuesi duhet të detyrojë viktimën të ngarkojë një faqe interneti me shfrytëzimin në të, ndërsa ata janë të regjistruar në uebsajtin e synuar.

Për të parandaluar çështjet CSRF, gjëja më e mirë që mund të bëni është të përfshini një token CSRF. Një shenjë CSRF është një varg i gjeneruar rastësisht që vendoset si një cookie, vlera duhet të përfshihet me çdo përgjigje së bashku me një kokë kërkese që përfshin vlerën. Ndërsa një sulm CSRF mund të përfshijë cookie-n, nuk ka asnjë mënyrë që të jetë në gjendje të përcaktohet vlera e tokenit CSRF për të vendosur kokën dhe kështu sulmi do të refuzohet.

Lëreni një koment

3 Dimensionet kryesore të fushës sportive

3 Dimensionet kryesore të fushës sportive

Në këtë artikull, ne do t'ju tregojmë gjithçka rreth basketbollit, tenisit dhe futbollit dhe dimensionet e rëndësishme të fushave sportive.

Si të gjeni ditëlindjen e dikujt në Facebook

Si të gjeni ditëlindjen e dikujt në Facebook

Mos harroni kurrë një ditëlindje me ndihmën e Facebook. Shihni se ku mund të gjeni ditëlindjen e dikujt që të mund ta dërgoni dhuratën në kohë.

Server i dedikuar kundrejt serverit të përbashkët të pritjes

Server i dedikuar kundrejt serverit të përbashkët të pritjes

A po kërkoni për një mundësi të zbatueshme për pritjen e faqes në internet? Mësoni ndryshimin midis një serveri të dedikuar kundrejt një serveri të përbashkët pritës.

Një listë e emrave qesharak të Wi-Fi

Një listë e emrave qesharak të Wi-Fi

Më pëlqen t'i argëtoj fqinjët e mi duke ndryshuar rrjetin tim Wi-Fi me emra të ndryshëm qesharak. Nëse po kërkoni ide për një emër qesharak Wi-Fi, këtu

Çfarë është Lidhja e Thellë?

Çfarë është Lidhja e Thellë?

Lidhja e thellë është teknika në trend e ridrejtimit të përdoruesit. Mësoni rreth lidhjes së thellë këtu për ta përdorur atë për të rritur trafikun e faqes suaj të internetit ose aplikacionit.

Çfarë është AR Cloud?

Çfarë është AR Cloud?

AR është gjëja tjetër e madhe e internetit për argëtim, punë ose biznes. Mësoni renë AR në detaje për t'u bërë një përdorues i informuar.

Si të shpëtoni nga reklamat në Gmail

Si të shpëtoni nga reklamat në Gmail

Gmail është padyshim një nga shërbimet më të mira të postës elektronike të disponueshme sot, duke ofruar një sërë veçorish mbresëlënëse që e bëjnë komunikimin më efikas dhe

Si të eksportoni faqeshënuesit e Chrome

Si të eksportoni faqeshënuesit e Chrome

Lundrimi në internet shpesh ndihet si një udhëtim në oqeanin e pakufishëm të dijes, me faqet e internetit dhe faqet tuaja të preferuara që shërbejnë si të njohura

Çfarë është një fjalëkalim kryesor Firefox dhe si të krijoni një të tillë

Çfarë është një fjalëkalim kryesor Firefox dhe si të krijoni një të tillë

Kur krijoni një Fjalëkalim Primar Firefox, ju shtoni një shtresë shtesë sigurie në fjalëkalimet tuaja të ruajtura. Ja se si ta aktivizoni dhe ndryshoni atë.

Si të përdorni skanuesin e gjurmëve të gishtërinjve me skedat e fshehta në Chrome

Si të përdorni skanuesin e gjurmëve të gishtërinjve me skedat e fshehta në Chrome

Modaliteti i fshehtë i Google Chromes është një veçori e dobishme që ju lejon të shfletoni internetin pa u ruajtur historiku juaj i shfletimit. Megjithatë, një pengesë