Một cuộc tấn công CSRF được phát hiện là gì?
Một cuộc tấn công CSRF được phát hiện là gì?

Video: Một cuộc tấn công CSRF được phát hiện là gì?

Video: Một cuộc tấn công CSRF được phát hiện là gì?
Video: Hack cùng Code Dạo - Kì 5: CSRF - Cross-Site Request Forgery 2024, Tháng Ba
Anonim

Giả mạo yêu cầu trên nhiều trang web, còn được gọi là một cú nhấp chuột tấn công hoặc phiên cưỡi ngựa và được viết tắt là CSRF (đôi khi được phát âm là lướt biển) hoặc XSRF, là một kiểu khai thác độc hại của một trang web nơi các lệnh trái phép được truyền từ người dùng mà ứng dụng web tin cậy.

Trong đó, cuộc tấn công CSRF hoạt động như thế nào?

Yêu cầu trên nhiều trang web giả mạo ( CSRF ) Là một tấn công buộc người dùng cuối phải thực hiện các hành động không mong muốn trên ứng dụng web mà họ hiện đang được xác thực. Các cuộc tấn công CSRF nhắm mục tiêu cụ thể đến các yêu cầu thay đổi trạng thái chứ không phải đánh cắp dữ liệu, vì kẻ tấn công không có cách nào để xem phản hồi đối với yêu cầu giả mạo.

Tương tự như vậy, mã thông báo CSRF là gì và nó hoạt động như thế nào? Cái này mã thông báo , được gọi là Mã thông báo CSRF hoặc một bộ đồng bộ hóa Mã thông báo , làm như sau: Khách hàng yêu cầu một trang HTML có chứa một biểu mẫu. Khi khách hàng gửi biểu mẫu, nó phải gửi cả hai mã thông báo trở lại máy chủ. Khách hàng gửi cookie mã thông báo dưới dạng cookie và nó sẽ gửi biểu mẫu mã thông báo bên trong dữ liệu biểu mẫu.

Về vấn đề này, ví dụ về CSRF là gì?

Yêu cầu trên nhiều trang web giả mạo ( CSRF hoặc XSRF) là một thí dụ về khả năng đưa ra những cái tên đáng sợ của ngành bảo mật như thế nào. MỘT CSRF lỗ hổng bảo mật cho phép kẻ tấn công buộc người dùng đã đăng nhập thực hiện một hành động quan trọng mà không có sự đồng ý hoặc không biết của họ.

Làm thế nào để một người bảo vệ chống lại CSRF?

6 hành động bạn có thể đưa đến ngăn ngừa Một CSRF tấn công Làm không mở bất kỳ email nào, duyệt đến các trang web khác hoặc thực hiện bất kỳ giao tiếp mạng xã hội nào khác trong khi được xác thực với trang web ngân hàng của bạn hoặc bất kỳ trang web nào thực hiện các giao dịch tài chính.

Đề xuất: