تزوير طلب عبر المواقع (CSRF)

مؤلف: Lewis Jackson
تاريخ الخلق: 12 قد 2021
تاريخ التحديث: 15 قد 2024
Anonim
Cross-Site Request Forgery (CSRF) Explained
فيديو: Cross-Site Request Forgery (CSRF) Explained

المحتوى

التعريف - ماذا يعني تزوير الطلبات عبر المواقع (CSRF)؟

طلب تزوير عبر المواقع (CSRF) هو نوع من استغلال الموقع يتم تنفيذه عن طريق إصدار أوامر غير مصرح بها من مستخدم موقع موثوق به. يستغل CSRF ثقة موقع ويب لمتصفح مستخدم معين ، بدلاً من البرمجة النصية عبر المواقع ، والذي يستغل ثقة المستخدم لموقع ويب.

يُعرف هذا المصطلح أيضًا باسم ركوب الجلسة أو الهجوم بنقرة واحدة.


مقدمة إلى Microsoft Azure و Microsoft Cloud | من خلال هذا الدليل ، سوف تتعرف على الحوسبة السحابية التي تدور حولها وكيف يمكن أن يساعدك Microsoft Azure على ترحيل عملك وإدارته من السحابة.

تيكوبيديا تشرح تزوير الطلبات عبر المواقع (CSRF)

عادة ما يستخدم CSRF أمر "GET" للمتصفحات كنقطة استغلال. يستخدم مزورو خدمة CSR علامات HTML مثل "IMG" لحقن الأوامر في موقع ويب معين. ثم يتم استخدام مستخدم معين لهذا الموقع كمضيف وشريك غير مقصود. غالبًا ما لا يعرف موقع الويب أنه يتعرض للهجوم ، نظرًا لأن المستخدم الشرعي يقوم بتنفيذ الأوامر. قد يصدر المهاجم طلبًا لتحويل الأموال إلى حساب آخر ، أو سحب المزيد من الأموال ، أو في حالة PayPal والمواقع المشابهة ، الأموال إلى حساب آخر.

يصعب تنفيذ هجوم CSRF لأن هناك عددًا من الأشياء يجب أن تحدث من أجل نجاحها:

  • يجب أن يستهدف المهاجم إما موقع ويب لا يتحقق من رأس الإحالة (وهو أمر شائع) أو مستخدم / ضحية باستخدام مستعرض أو خطأ في مكون إضافي يسمح بالتحايل بالإحالة (وهو أمر نادر الحدوث).
  • يجب على المهاجم تحديد موقع إرسال نموذج على موقع الويب المستهدف ، والذي يجب أن يكون قادرًا على شيء مثل تغيير بيانات اعتماد عنوان الضحايا أو إجراء التحويلات المالية.
  • يجب على المهاجم تحديد القيم الصحيحة لجميع النماذج أو مدخلات عناوين URL. إذا طُلب من أي منهم أن يكون قيمًا سرية أو معرفات لا يستطيع المهاجم تخمينها بدقة ، فسيفشل الهجوم.
  • يجب على المهاجم جذب المستخدم / الضحية إلى صفحة ويب باستخدام تعليمات برمجية ضارة أثناء تسجيل دخول الضحية إلى الموقع الهدف.

على سبيل المثال ، افترض أن الشخص أ يتصفح حسابه المصرفي أثناء وجوده أيضًا في غرفة الدردشة. يوجد مهاجم (الشخص B) في غرفة الدردشة ويتعرف على أنه تم تسجيل دخول الشخص أ أيضًا إلى bank.com. الشخص ب يجذب الشخص أ للنقر على رابط لصورة مضحكة. تحتوي علامة "IMG" على قيم لإدخالات نموذج bank.com ، والتي ستحول فعليًا مبلغًا معينًا من حساب الشخص أ إلى حساب الشخص ب. إذا لم يكن bank.com لديه مصادقة ثانوية للشخص A قبل تحويل الأموال ، فسيكون الهجوم ناجحًا.