Sisällysluettelo:
- Määritelmä - Mitä sivustojen välinen väärentäminen (CSRF) tarkoittaa?
- Techopedia selittää sivustojen välisen väärentämisen (CSRF)
Määritelmä - Mitä sivustojen välinen väärentäminen (CSRF) tarkoittaa?
Sivustojenvälinen väärentämispyyntö (CSRF) on verkkosivustotyyppinen hyväksikäyttö, joka suoritetaan antamalla luvattomia komentoja luotetulta verkkosivuston käyttäjältä. CSRF hyödyntää verkkosivuston luottamusta tietyn käyttäjän selaimeen, toisin kuin sivustojen välisiin komentosarjoihin, jotka hyödyntävät käyttäjän luottamusta verkkosivustoon.
Tätä termiä kutsutaan myös istuntoilmaksi tai yhden napsautuksen hyökkäykseksi.
Techopedia selittää sivustojen välisen väärentämisen (CSRF)
CSRF käyttää yleensä selaimen "GET" -komentoa hyödyntämiskohtana. CSR-väärentäjät käyttävät HTML-tunnisteita, kuten "IMG", komentojen lisäämiseen tiettyyn verkkosivustoon. Tämän verkkosivuston tiettyä käyttäjää käytetään sitten isäntänä ja tahattomana osallisena. Usein verkkosivusto ei tiedä, että se on uhattuna, koska laillinen käyttäjä lähettää komentoja. Hyökkääjä voi lähettää pyynnön varojen siirtämisestä toiselle tilille, nostaa lisää varoja tai PayPalin tai vastaavien sivustojen tapauksessa lähettää rahaa toiselle tilille.
CSRF-hyökkäys on vaikea toteuttaa, koska sen onnistumisen on tapahduttava useita asioita:
- Hyökkääjän on kohdistettava joko verkkosivusto, joka ei tarkista viiteotsikkoa (mikä on yleistä), tai käyttäjää / uhria selaimella tai laajennusvirheellä, joka sallii viittaamisen huijaamisen (mikä on harvinaista).
- Hyökkääjän on löydettävä lomakkeen lähetys kohdeverkkosivustolta, jonka on kyettävä muuttamaan uhrin sähköpostiosoitteen kirjautumistietoja tai suorittamaan rahansiirtoja.
- Hyökkääjän on määritettävä oikeat arvot kaikille lomakkeen tai URL-osoitteen syötteille. Jos jonkin niistä vaaditaan olevan salaisia arvoja tai tunnuksia, joita hyökkääjä ei osaa tarkalleen arvata, hyökkäys epäonnistuu.
- Hyökkääjän on houkutettava käyttäjä / uhri verkkosivulle, jolla on haitallista koodia, kun uhri on kirjautunut sisään kohdesivustoon.
Oletetaan esimerkiksi, että henkilö A selaa pankkitiliään myös chat-huoneessa. Chattihuoneessa on hyökkääjä (henkilö B), joka tietää, että henkilö A on myös kirjautunut sisään bank.com-sivustoon. Henkilö B houkuttelee henkilöä A napsauttamaan linkkiä hauskan kuvan saamiseksi. "IMG" -tagi sisältää arvoja bank.com-lomakkeen syöttöille, jotka siirtävät tietyn määrän tosiasiallisesti henkilön A tililtä henkilön B tilille. Jos bank.com.com: lla ei ole toissijaista todennusta henkilölle A ennen varojen siirtoa, hyökkäys onnistuu.
