Innholdsfortegnelse:
- Definisjon - Hva betyr CSRF (Cross-Site Request Forgery)?
- Techopedia forklarer CSRF (Cross-Site Request Forgery)
Definisjon - Hva betyr CSRF (Cross-Site Request Forgery)?
Cross-site request forgery (CSRF) er en type nettstedsutnyttelse utført ved å utstede uautoriserte kommandoer fra en pålitelig bruker av nettstedet. CSRF utnytter et nettsteds tillit for en bestemt brukers nettleser, i motsetning til scripting på tvers av nettsteder, som utnytter brukerens tillit til et nettsted.
Dette begrepet er også kjent som økt med ridning eller et klikk angrep.
Techopedia forklarer CSRF (Cross-Site Request Forgery)
En CSRF bruker vanligvis nettleserens "GET" -kommando som utnyttelsespunkt. CSR-forfalskere bruker HTML-koder som "IMG" for å injisere kommandoer til et bestemt nettsted. En bestemt bruker av nettstedet blir deretter brukt som vert og en uvitende medskyldige. Ofte vet ikke nettstedet at det er under angrep, siden en legitim bruker sender kommandoene. Angriperen kan gi en forespørsel om å overføre midler til en annen konto, ta ut mer midler eller, i tilfelle PayPal og lignende nettsteder, sende penger til en annen konto.
Et CSRF-angrep er vanskelig å utføre fordi en rekke ting må skje for at det skal lykkes:
- Angriperen må målrette seg enten mot et nettsted som ikke sjekker henvisningshodet (som er vanlig) eller mot en bruker / offer med en nettleser eller plug-in-feil som tillater forfalskning av referanser (som er sjelden).
- Angriperen må finne et skjemainnlevering på målnettstedet, som må være i stand til noe som å endre offerets e-postadresse påloggingsinformasjon eller utføre pengeoverføringer.
- Angriperen må bestemme riktige verdier for alle skjemaets eller URL-inngangene. Hvis noen av dem er pålagt å være hemmelige verdier eller IDer som angriperen ikke kan gjette nøyaktig, vil angrepet mislykkes.
- Angriperen må lokke brukeren / offeret til en webside med ondsinnet kode mens offeret er logget inn på målsiden.
Anta for eksempel at person A surfer på bankkontoen sin mens han også er i et chatterom. Det er en angriper (Person B) i chatterommet som får vite at Person A også er logget inn på bank.com. Person B lokker Person A til å klikke på en lenke for et morsomt bilde. "IMG" -koden inneholder verdier for bank.coms forminnganger, som effektivt vil overføre et visst beløp fra Person As konto til Person Bs konto. Hvis bank.com ikke har sekundær autentisering for person A før midlene blir overført, vil angrepet være vellykket.
