CSRF eða Cross-Site Request Forgery er varnarleysi á vefsíðu þar sem árásarmaður getur valdið því að aðgerð gerist á fundi fórnarlambs á annarri vefsíðu. Eitt af því sem gerir CSRF svo mikla áhættu er að það krefst ekki einu sinni notendasamskipta, allt sem þarf er að fórnarlambið sjái vefsíðu með hagnýtingu í henni.
Ábending: CSRF er almennt borið fram annað hvort bókstaf fyrir bókstaf eða sem „sjóbrim“.
Hvernig virkar CSRF árás?
Árásin felur í sér að árásarmaðurinn býr til vefsíðu sem hefur aðferð til að gera beiðni á annarri vefsíðu. Þetta gæti krafist samskipta notenda, eins og að fá þá til að ýta á hnapp, en það gæti líka verið milliverkunarlaust. Í JavaScript eru leiðir til að valda því að aðgerð gerist sjálfkrafa. Til dæmis mun núll við núll pixla mynd ekki vera sýnileg notandanum en hægt er að stilla hana þannig að „src“ hennar sendi beiðni til annarrar vefsíðu.
JavaScript er tungumál viðskiptavinarhliðar, þetta þýðir að JavaScript kóða er keyrt í vafranum frekar en á vefþjóninum. Þökk sé þessari staðreynd er tölvan sem gerir CSRF beiðnina í raun fórnarlambið. Því miður þýðir þetta að beiðnin er gerð með öllum þeim heimildum sem notandinn hefur. Þegar árásarvefsíðan hefur blekkt fórnarlambið til að gera CSRF beiðnina er beiðnin í meginatriðum óaðgreind frá notandanum sem gerir beiðnina venjulega.
CSRF er dæmi um „ruglaða varaárás“ gegn vafranum þar sem vafrinn er blekktur til að nota heimildir sínar af árásarmanni án þessara réttinda. Þessar heimildir eru lotu- og auðkenningartákn fyrir markvefsíðuna. Vafrinn þinn inniheldur þessar upplýsingar sjálfkrafa í öllum beiðnum sem hann gerir.
CSRF árásir eru nokkuð flóknar í skipulagi. Í fyrsta lagi þarf markvefsíðan að hafa eyðublað eða vefslóð sem hefur aukaverkanir eins og að eyða reikningnum þínum. Árásarmaðurinn þarf síðan að búa til beiðni um að framkvæma æskilega aðgerð. Að lokum þarf árásarmaðurinn að fá fórnarlambið til að hlaða vefsíðu með hagnýtingu á meðan þeir eru skráðir inn á markvefsíðuna.
Til að koma í veg fyrir CSRF vandamál er það besta sem þú getur gert að láta CSRF tákn fylgja með. CSRF tákn er handahófskennt strengur sem er stilltur sem vafrakaka, gildið þarf að fylgja með hverju svari við hlið beiðnihaus sem inniheldur gildið. Þó að CSRF árás geti innihaldið kexið, þá er engin leið að geta ákvarðað gildi CSRF táknsins til að stilla hausinn og því verður árásinni hafnað.
Chrome, sjálfgefið, sýnir þér ekki alla vefslóðina. Þér er kannski sama um þessi smáatriði, en ef þú þarft af einhverjum ástæðum að birta alla vefslóðina, nákvæmar leiðbeiningar um hvernig á að láta Google Chrome birta alla vefslóðina á veffangastikunni.
Reddit breytti hönnun sinni enn og aftur í janúar 2024. Endurhönnunin er hægt að sjá af notendum skjáborðsvafra og þrengir að aðalstraumnum á sama tíma og tenglar eru til staðar.
Að slá uppáhalds tilvitnunina þína úr bókinni þinni á Facebook er tímafrekt og fullt af villum. Lærðu hvernig á að nota Google Lens til að afrita texta úr bókum yfir í tækin þín.
Áminningar hafa alltaf verið aðal hápunktur Google Home. Þeir gera líf okkar örugglega auðveldara. Við skulum fara í stutta skoðunarferð um hvernig á að búa til áminningar á Google Home svo að þú missir aldrei af því að sinna mikilvægum erindum.
Stundum, þegar þú ert að vinna í Chrome, geturðu ekki fengið aðgang að ákveðnum vefsíðum og færð upp villuna „Laga DNS vistfang netþjóns fannst ekki í Chrome“. Hér er hvernig þú getur leyst málið.
Hvernig á að breyta lykilorðinu þínu á Netflix streymisvídeóþjónustunni með því að nota valinn vafra eða Android app.
Ef þú vilt losna við endurheimta síður skilaboðin á Microsoft Edge skaltu einfaldlega loka vafranum eða ýta á Escape takkann.
Djúptenging er vinsæl tilvísunartækni notenda. Lærðu um djúptengingar hér til að nota þær til að auka umferð á vefsíðuna þína eða app.
AR er næsta stóra hlutur internetsins fyrir skemmtun, vinnu eða viðskipti. Lærðu AR ský í smáatriðum til að verða upplýstur notandi.
Notaðu Microsoft Edge Drop og deildu skrám og skilaboðum auðveldlega á milli tækja með því að fylgja þessum byrjendavænu skrefum.
