Obsah:
- Definícia - Čo znamená falšovanie žiadostí na viacerých stránkach (CSRF)?
- Techopedia vysvetľuje falšovanie žiadostí na viacerých stránkach (CSRF)
Definícia - Čo znamená falšovanie žiadostí na viacerých stránkach (CSRF)?
Falšovanie žiadosti medzi servermi (CSRF) je typ zneužívania webovej stránky, ktorý sa vykonáva vydaním neautorizovaných príkazov od dôveryhodného používateľa webovej stránky. CSRF využíva dôveru webovej stránky pre prehliadač konkrétneho používateľa, na rozdiel od skriptovania medzi lokalitami, ktoré využíva dôveru používateľa pre webovú stránku.
Tento výraz sa označuje aj ako sedenie na koni alebo útok jedným kliknutím.
Techopedia vysvetľuje falšovanie žiadostí na viacerých stránkach (CSRF)
CSRF zvyčajne používa ako exploit bod príkaz „GET“ prehľadávača. Klamári CSR používajú značky HTML ako „IMG“ na injektovanie príkazov na konkrétnu webovú stránku. Konkrétny používateľ tejto webovej stránky sa potom použije ako hostiteľ a nevedomý spolupáchateľ. Webová stránka často nevie, že je pod útokom, pretože legitímny používateľ posiela príkazy. Útočník by mohol podať žiadosť o prevod prostriedkov na iný účet, výber ďalších prostriedkov alebo, v prípade PayPal a podobných stránok, zaslanie peňazí na iný účet.
Útok CSRF je ťažké vykonať, pretože na to, aby bol úspešný, je potrebné urobiť niekoľko vecí:
- Útočník musí zacieliť buď na webovú stránku, ktorá nekontroluje hlavičku sprostredkovateľa (ktorá je bežná), alebo na používateľa / obeť s prehliadačom alebo chybou doplnku, ktorá umožňuje spoofing sprostredkovateľa (čo je zriedkavé).
- Útočník musí na cieľovej webovej stránke nájsť formulár na odoslanie formulára, ktorý musí byť schopný zmeniť prihlasovacie údaje k e-mailovej adrese obete alebo vykonávať prevody peňazí.
- Útočník musí určiť správne hodnoty pre všetky vstupy formulára alebo adresy URL. Ak sa od niektorej z nich vyžaduje, aby boli tajnými hodnotami alebo identifikátormi, ktoré útočník nedokáže presne uhádnuť, útok zlyhá.
- Útočník musí prilákať používateľa / obeť na webovú stránku so škodlivým kódom, kým je obeť prihlásená na cieľovú stránku.
Predpokladajme napríklad, že osoba A prehľadáva svoj bankový účet, aj keď je v chatovacej miestnosti. V diskusnej miestnosti sa nachádza útočník (osoba B), ktorý zistí, že osoba A je tiež prihlásená na stránke bank.com. Osoba B láka osobu A, aby klikla na odkaz pre vtipný obrázok. Značka „IMG“ obsahuje hodnoty pre vstupy formulárov bank.com, ktoré skutočne prevedú určitú sumu z účtu osoby A na účet osoby B. Ak bank.com nemá sekundárnu autentizáciu pre osobu A pred prevedením prostriedkov, útok bude úspešný.
