Indholdsfortegnelse:
- Definition - Hvad betyder cross-site Request Forgery (CSRF)?
- Techopedia forklarer cross-site Request Forgery (CSRF)
Definition - Hvad betyder cross-site Request Forgery (CSRF)?
Forfalskning på tværs af anmodninger (CSRF) er en type udnyttelse af websteder, der udføres ved at udstede uautoriserede kommandoer fra en betroet webstedsbruger. CSRF udnytter et websteds tillid til en bestemt brugers browser i modsætning til scripting på tværs af sider, der udnytter brugerens tillid til et websted.
Dette udtryk er også kendt som session ride eller et angreb med et enkelt klik.
Techopedia forklarer cross-site Request Forgery (CSRF)
En CSRF bruger normalt en browsers "GET" -kommando som udnyttelsespunkt. CSR-forfalskere bruger HTML-tags såsom "IMG" til at injicere kommandoer til et specifikt websted. En bestemt bruger af dette websted bruges derefter som en vært og en uvidende medskyldig. Ofte ved webstedet ikke, at det er under angreb, da en legitim bruger sender kommandoerne. Angriberen udsender muligvis en anmodning om at overføre penge til en anden konto, trække flere midler eller, i tilfælde af PayPal og lignende websteder, sende penge til en anden konto.
Et CSRF-angreb er svært at udføre, fordi et antal ting skal ske for at det skal lykkes:
- Angriberen skal enten målrette mod et websted, der ikke tjekker henvisningshovedet (som er almindeligt) eller en bruger / offer med en browser eller plug-in-fejl, der tillader forfalskning af referencer (hvilket er sjældent).
- Angriberen skal finde en formularindsendelse på målwebstedet, som skal være i stand til noget som at ændre offerets e-mail-adresse loginoplysninger eller udføre pengeoverførsler.
- Angriberen skal bestemme de korrekte værdier for alle formularens eller URL-indgange. Hvis en af dem kræves at være hemmelige værdier eller ID'er, som angriberen ikke nøjagtigt kan gætte, vil angrebet mislykkes.
- Angriberen skal lokke brugeren / offeret til en webside med ondsindet kode, mens offeret er logget ind på målsiden.
Antag f.eks., At person A gennemser sin bankkonto, mens han også er i et chatrum. Der er en angriber (Person B) i chatrummet, der lærer, at Person A også er logget ind på bank.com. Person B lokker person A til at klikke på et link for at få et sjovt billede. Mærket "IMG" indeholder værdier for bank.coms formindgange, som effektivt overfører et vist beløb fra Person A's konto til Person B's konto. Hvis bank.com ikke har sekundær godkendelse for person A, før pengene overføres, vil angrebet være en succes.
