CSRF või Cross-Site Request Forgery on veebisaidi haavatavus, mille puhul ründaja võib põhjustada toimingu ohvri seansil teisel veebisaidil. Üks asi, mis muudab CSRF-i nii suureks riskiks, on see, et see ei nõua isegi kasutaja sekkumist, piisab vaid sellest, et ohver vaataks veebilehte, millel on ärakasutamine.
Näpunäide: CSRF-i hääldatakse üldiselt kas tähthaaval või kui "meresurf".
Kuidas CSRF-rünnak töötab?
Rünnak seisneb selles, et ründaja loob veebisaidi, millel on meetod päringu esitamiseks teisele veebisaidile. See võib nõuda kasutaja sekkumist, näiteks nupu vajutamist, kuid see võib olla ka interaktsioonivaba. JavaScriptis on võimalusi toimingu automaatseks toimumiseks. Näiteks null-null-piksline pilt ei ole kasutajale nähtav, kuid seda saab konfigureerida nii, et selle "src" esitab päringu teisele veebisaidile.
JavaScript on kliendipoolne keel, mis tähendab, et JavaScripti koodi käitatakse pigem brauseris kui veebiserveris. Tänu sellele on CSRF-i päringu esitav arvuti tegelikult ohvri oma. Kahjuks tähendab see, et päring tehakse kõigi kasutajal olevate õigustega. Kui ründav veebisait on petnud ohvrilt CSRF-i päringut, on taotlus sisuliselt eristamatu tavapäraselt päringu esitavast kasutajast.
CSRF on näide "segaduses asetäitja rünnakust" veebibrauseri vastu, kuna ilma nende õigusteta ründaja meelitab brauserit kasutama selle lubasid. Need load on teie sihtveebisaidi seansi- ja autentimismärgid. Teie brauser lisab need andmed automaatselt igasse päringusse.
CSRF-i rünnakuid on mõnevõrra keeruline korraldada. Esiteks peab sihtveebisaidil olema vorm või URL, millel on kõrvalmõjud, nagu teie konto kustutamine. Seejärel peab ründaja soovitud toimingu tegemiseks esitama taotluse. Lõpuks peab ründaja sundima ohvrit laadima veebilehte, milles on ärakasutamine, kui ta on sihtveebisaidile sisse logitud.
CSRF-i probleemide vältimiseks on parim, mida saate teha, lisada CSRF-i luba. CSRF-i luba on juhuslikult genereeritud string, mis on seatud küpsiseks, väärtus tuleb lisada igale vastusele koos päringu päisega, mis sisaldab väärtust. Kuigi CSRF-i rünnak võib küpsist sisaldada, ei saa see kuidagi päise määramiseks määrata CSRF-i märgi väärtust ja seega lükatakse rünnak tagasi.
Kas olete kunagi kulutanud aega Facebooki postituse loomisele, kuid ei leidnud mustandit? Siit leiate kõik vajalikud teadmised, et Facebooki mustandite leidmine oleks lihtne ja mugav.
Internetis navigeerimine tundub sageli nagu reis teadmiste piiritusse ookeani, kus teie lemmikveebisaidid ja -veebilehed on tuttavad
Kasutage Microsoft Edge Dropi ja jagage hõlpsalt faile ja sõnumeid seadmete vahel, järgides neid algajasõbralikke samme.
Vaadake, kui lihtne on arvutis ja Android-seadmes Google Mapsis marsruute salvestada ja jagada. Vaadake neid algajasõbralikke samme.
Funktsiooniga seotud probleemide lahendamiseks ja kasutamata vahelehtede uuesti laadimise vältimiseks lülitage Google Chrome'is mälusäästja välja.
Kas otsite elujõulist võimalust veebisaidi hostimiseks? Siit saate teada, mis vahe on pühendatud serveri ja jagatud hostimisserveri vahel.
Google Chromesi inkognito režiim on mugav funktsioon, mis võimaldab teil sirvida Internetti ilma sirvimisajalugu salvestamata. Siiski üks puudus
Mulle meeldib oma naabreid lõbustada, muutes oma WiFi-võrgu erinevate naljakate nimede vastu. Kui otsite ideid naljaka WiFi-nime jaoks, siis siin
Sügav linkimine on populaarsust koguv kasutajate ümbersuunamise tehnika. Siit leiate teavet sügava linkimise kohta, et kasutada seda oma veebisaidi või rakenduse liikluse suurendamiseks.
AR on meelelahutuse, töö või äri jaoks Internetis järgmine suur asi. Õppige üksikasjalikult AR-pilve, et saada teadlikuks kasutajaks.
