Tartalomjegyzék:
- Meghatározás - Mit jelent a webhelyek közötti kérelem-hamisítás (CSRF)?
- A Techopedia magyarázza a webhelyek közötti kérelem-hamisítást (CSRF)
Meghatározás - Mit jelent a webhelyek közötti kérelem-hamisítás (CSRF)?
A webhelyek közötti kérelem-hamisítás (CSRF) egy olyan webhely-kihasználás, amelyet jogosulatlan parancsok kiadásával hajtanak végre egy megbízható webhely-felhasználó számára. A CSRF kihasználja a webhely bizalmát egy adott felhasználó böngészőjében, szemben a webhelyek közötti szkriptekkel, amelyek kihasználják a felhasználó bizalmát egy webhely iránt.
Ezt a kifejezést úgy is hívják, mint üléslovaglás vagy egy kattintásos támadás.
A Techopedia magyarázza a webhelyek közötti kérelem-hamisítást (CSRF)
A CSRF általában egy böngésző "GET" parancsát használja kihasználási pontként. A CSR-hamisítók HTML-címkéket használnak, például "IMG", hogy parancsokat adjanak be egy adott webhelyre. A weboldal egy adott felhasználóját ezután házigazdaként és akaratlan társként használják. A webhely gyakran nem tudja, hogy támadás alatt áll, mivel egy jogos felhasználó küldi a parancsokat. A támadó kérést tehet pénzátutalásra egy másik számlára, további pénzeszközök kivonására, vagy PayPal és hasonló webhelyek esetén pénzt küldhet egy másik számlára.
A CSRF-támadást nehéz végrehajtani, mert a sikerhez sok mindennek meg kell történnie:
- A támadónak egy olyan webhelyet kell megcéloznia, amely nem ellenőrzi a hivatkozó fejlécét (ami gyakori), vagy egy felhasználót / áldozatot olyan böngészővel vagy plug-in hibával, amely lehetővé teszi az utalók hamisítását (ami ritka).
- A támadónak meg kell találnia egy űrlap benyújtását a céloldalon, amelynek képesnek kell lennie például az áldozat e-mail címének bejelentkezési adatainak megváltoztatására vagy pénzátutalások végrehajtására.
- A támadónak meg kell határoznia az összes űrlap vagy URL bemenet helyes értékét. Ha ezek közül bármelyiknek titkos értéknek vagy azonosítónak kell lennie, amelyet a támadó nem tud pontosan kitalálni, a támadás kudarcot vall.
- A támadónak rá kell csalogatnia a felhasználót / áldozatot egy rosszindulatú kódú weboldalra, miközben az áldozat be van jelentkezve a célhelyre.
Tegyük fel például, hogy az A személy egy csevegőszobában is böngészi bankszámláját. A csevegőszobában van egy támadó (B személy), aki megtudja, hogy az A személy szintén be van jelentkezve a bank.com oldalra. B személy ráveti az A személyt, hogy egy linkre kattintva vicces képet készítsen. Az "IMG" címke a bank.com űrlapbevitelének értékeit tartalmazza, amelyek ténylegesen átutalnak egy bizonyos összeget az A személy számlájáról a B személy számlájára. Ha a bank.com nem rendelkezik másodlagos hitelesítéssel az A személy számára, mielőtt a pénzeszközöket átutalták, akkor a támadás sikeres lesz.
