CSRF jeb Cross-Site Request Forgery ir vietnes ievainojamība, kurā uzbrucējs var izraisīt darbību upura sesijā citā vietnē. Viena no lietām, kas padara CSRF tik lielu risku, ir tas, ka tai pat nav nepieciešama lietotāja mijiedarbība, viss, kas nepieciešams, ir, lai upuris skatītu tīmekļa lapu ar tajā esošo izmantošanu.
Padoms: CSRF parasti izrunā burts pa burtam vai kā “jūras sērfošana”.
Kā darbojas CSRF uzbrukums?
Uzbrukums ir saistīts ar to, ka uzbrucējs izveido vietni, kurai ir metode pieprasījuma veikšanai citā vietnē. Tam var būt nepieciešama lietotāja mijiedarbība, piemēram, piespiežot viņus nospiest pogu, taču tas var būt arī bez mijiedarbības. JavaScript ir veidi, kā izraisīt automātisku darbību. Piemēram, nulle pa nullei pikseļu attēls nebūs redzams lietotājam, taču to var konfigurēt tā, lai tā “src” nosūtītu pieprasījumu citai vietnei.
JavaScript ir klienta puses valoda, tas nozīmē, ka JavaScript kods tiek palaists pārlūkprogrammā, nevis tīmekļa serverī. Pateicoties šim faktam, dators, kas veic CSRF pieprasījumu, patiesībā ir upura dators. Diemžēl tas nozīmē, ka pieprasījums tiek veikts ar visām lietotāja atļaujām. Kad uzbrūkošā vietne ir piemānījusi upuri, lai tas izdarītu CSRF pieprasījumu, pieprasījums būtībā nav atšķirams no lietotāja, kurš parasti iesniedz pieprasījumu.
CSRF ir “apmulsuša vietnieka uzbrukuma” piemērs tīmekļa pārlūkprogrammai, jo uzbrucējs bez šīm privilēģijām piemānās pārlūkprogrammai izmantot tās atļaujas. Šīs atļaujas ir jūsu sesijas un autentifikācijas marķieri mērķa vietnei. Jūsu pārlūkprogramma automātiski iekļauj šo informāciju visos pieprasījumos.
CSRF uzbrukumus ir diezgan sarežģīti organizēt. Pirmkārt, mērķa vietnei ir jābūt veidlapai vai URL, kam ir blakusparādības, piemēram, konta dzēšana. Pēc tam uzbrucējam ir jāizstrādā pieprasījums, lai veiktu vēlamo darbību. Visbeidzot, uzbrucējam ir jāpanāk, lai upuris ielādētu tīmekļa lapu ar tajā esošo izmantošanu, kamēr viņš ir pierakstījies mērķa vietnē.
Lai novērstu CSRF problēmas, vislabākais, ko varat darīt, ir iekļaut CSRF pilnvaru. CSRF marķieris ir nejauši ģenerēta virkne, kas ir iestatīta kā sīkfails; vērtība ir jāiekļauj katrā atbildē kopā ar pieprasījuma galveni, kurā ir ietverta vērtība. Lai gan CSRF uzbrukumā var būt ietverts sīkfails, nav iespējams noteikt CSRF pilnvaras vērtību, lai iestatītu galveni, un tādējādi uzbrukums tiks noraidīts.
Chrome pēc noklusējuma nerāda pilnu URL. Iespējams, šī detaļa jums pārāk nerūp, taču, ja kāda iemesla dēļ jums ir nepieciešams parādīt pilnu URL, skatiet detalizētus norādījumus par to, kā pārlūkprogrammai Google Chrome adreses joslā parādīt pilnu URL.
Reddit 2024. gada janvārī atkal mainīja dizainu. Pārveidojumu var redzēt galddatoru pārlūkprogrammas lietotāji, un tas sašaurina galveno plūsmu, vienlaikus nodrošinot saites.
Iecienītākā citāta ierakstīšana no grāmatas pakalpojumā Facebook ir laikietilpīga un pilna ar kļūdām. Uzziniet, kā izmantot Google Lens, lai kopētu tekstu no grāmatām savās ierīcēs.
Atgādinājumi vienmēr ir bijuši Google Home galvenais akcents. Tie noteikti atvieglo mūsu dzīvi. Apskatīsim īsu ceļvedi par to, kā pakalpojumā Google Home izveidot atgādinājumus, lai jūs nekad nepalaistu garām svarīgu uzdevumu veikšanu.
Dažreiz, kad strādājat pārlūkā Chrome, nevarat piekļūt noteiktām vietnēm un tiek parādīts kļūdas ziņojums “Labot servera DNS adresi pārlūkā Chrome nevarēja atrast”. Lūk, kā jūs varat atrisināt problēmu.
Kā nomainīt paroli Netflix straumēšanas video pakalpojumā, izmantojot vēlamo pārlūkprogrammu vai Android lietotni.
Ja vēlaties atbrīvoties no ziņojuma Atjaunot lapas programmā Microsoft Edge, vienkārši aizveriet pārlūkprogrammu vai nospiediet atkāpšanās taustiņu.
Navigācija internetā bieži vien šķiet kā ceļojums bezgalīgajā zināšanu okeānā, kur jūsu iecienītākās vietnes un tīmekļa lapas ir pazīstamas.
Izmantojiet Microsoft Edge Drop un viegli kopīgojiet failus un ziņojumus starp ierīcēm, veicot šīs iesācējiem draudzīgās darbības.
Skatiet, cik viegli ir saglabāt un kopīgot maršrutus pakalpojumā Google Maps datorā un Android ierīcē. Apskatiet šīs iesācējiem draudzīgās darbības.
