Оглавление:
- Определение - что означает подделка межсайтовых запросов (CSRF)?
- Techopedia объясняет подделку межсайтовых запросов (CSRF)
Определение - что означает подделка межсайтовых запросов (CSRF)?
Подделка межсайтовых запросов (CSRF) - это тип эксплойта веб-сайта, выполняемый путем выдачи неавторизованных команд от доверенного пользователя веб-сайта. CSRF использует доверие веб-сайта для браузера конкретного пользователя, в отличие от межсайтовых сценариев, которые используют доверие пользователя к веб-сайту.
Этот термин также известен как сессия или атака одним нажатием.
Techopedia объясняет подделку межсайтовых запросов (CSRF)
CSRF обычно использует браузерную команду «GET» в качестве точки эксплойта. Фальсификаторы CSR используют HTML-теги, такие как «IMG», для внедрения команд в определенный веб-сайт. Определенный пользователь этого веб-сайта затем используется в качестве хоста и невольного сообщника. Часто веб-сайт не знает, что он подвергся атаке, поскольку законный пользователь отправляет команды. Злоумышленник может отправить запрос на перевод средств на другой счет, вывести больше средств или, в случае PayPal и аналогичных сайтов, отправить деньги на другой счет.
CSRF-атаку сложно выполнить, потому что для ее успеха необходимо выполнить ряд действий:
- Злоумышленник должен настроить таргетинг либо на веб-сайт, который не проверяет заголовок реферера (который является распространенным), либо на пользователя / жертву с ошибкой браузера или плагина, которая допускает подделку реферера (что редко).
- Злоумышленник должен найти отправку формы на целевом веб-сайте, которая должна иметь возможность что-то вроде изменения учетных данных адреса электронной почты жертвы или осуществления денежных переводов.
- Злоумышленник должен определить правильные значения для всех входов формы или URL-адреса. Если для какого-либо из них требуются секретные значения или идентификаторы, которые злоумышленник не может точно угадать, атака завершится неудачей.
- Злоумышленник должен заманить пользователя / жертву на веб-страницу с вредоносным кодом, когда жертва находится на целевом сайте.
Например, предположим, что человек А просматривает свой банковский счет, находясь также в чате. В чате есть злоумышленник (человек B), который узнает, что человек A также зарегистрирован на сайте bank.com. Человек B заманивает Человека A, чтобы щелкнуть ссылку для забавного изображения. Тег «IMG» содержит значения для входных данных формы bank.com, которые будут эффективно переводить определенную сумму со счета лица А на счет лица Б. Если на сайте bank.com не будет вторичной аутентификации для лица А до перевода средств, атака будет успешной.
