Cross-Site Request Forgery (CSRF)

Video: Cross-Site Request Forgery (CSRF) Explained

Innehåll

Definition - Vad betyder Cross-Site Request Forgery (CSRF)?
En introduktion till Microsoft Azure och Microsoft Cloud | I hela denna guide kommer du att lära dig vad cloud computing handlar om och hur Microsoft Azure kan hjälpa dig att migrera och driva ditt företag från molnet.
Techopedia förklarar Cross-Site Request Forgery (CSRF)

Definition - Vad betyder Cross-Site Request Forgery (CSRF)?

Cross-site request forgery (CSRF) är en typ av webbplatsutnyttjande som utförs genom att utfärda obehöriga kommandon från en betrodd webbplatsanvändare. CSRF utnyttjar en webbplatss förtroende för en viss användares webbläsare, till skillnad från skript på flera webbplatser, som utnyttjar användarens förtroende för en webbplats.

Denna term kallas också session ridning eller en attack med ett klick.

En introduktion till Microsoft Azure och Microsoft Cloud | I hela denna guide kommer du att lära dig vad cloud computing handlar om och hur Microsoft Azure kan hjälpa dig att migrera och driva ditt företag från molnet.

Techopedia förklarar Cross-Site Request Forgery (CSRF)

En CSRF använder vanligtvis ett "GET" -kommando för webbläsare som exploateringspunkt. CSR-förfalskare använder HTML-taggar som "IMG" för att injicera kommandon på en specifik webbplats. En särskild användare av den webbplatsen används sedan som en värd och en ovissande medarbetare. Ofta vet webbplatsen inte att den är under attack, eftersom en legitim användare använder kommandona. Angriparen kan utfärda en begäran om att överföra medel till ett annat konto, ta ut mer pengar eller, i fallet med PayPal och liknande webbplatser, pengar till ett annat konto.

En CSRF-attack är svår att utföra eftersom ett antal saker måste hända för att den ska lyckas:

Angriparen måste rikta in sig antingen på en webbplats som inte kontrollerar referenshuvudet (som är vanligt) eller mot en användare / offer med en webbläsare eller ett plug-in-bugg som tillåter hänvisarens falska (vilket är sällsynt).
Angriparen måste hitta en formulärinsändning på målwebbplatsen, som måste kunna göra något som att ändra offrens adressinloggningsuppgifter eller göra pengaröverföringar.
Angriparen måste bestämma de rätta värdena för alla formulär eller URL-ingångar. Om någon av dem måste vara hemliga värden eller ID som angriparen inte kan gissa exakt kommer attacken att misslyckas.
Angriparen måste locka användaren / offret till en webbsida med skadlig kod medan offret är inloggat på målsidan.

Anta till exempel att person A surfar på sitt bankkonto medan han också är i ett chattrum. Det finns en angripare (Person B) i chattrummet som får veta att Person A också är inloggad på bank.com. Person B lockar person A för att klicka på en länk för en rolig bild. Taggen "IMG" innehåller värden för bank.coms forminmatningar, som effektivt överför ett visst belopp från Person A: s konto till Person B: s konto. Om bank.com inte har sekundär autentisering för person A innan medlen överförs kommer attacken att lyckas.