ثبت نام
|
ورود

آسیبپذیری CSRF

توسط:  مدیریت  |  1393/06/05 | 13:32  |  5631 بار دیده شده

CSRF مخفف عبارت Cross Site Request Forgery میباشد که در اطلاح و عمل به معنای عبور از درخواست های سایت و ارسال درخواست های جعلی به آن است. فرض کنید در پنل کاربری سایت شما ، صفحه ای مربوط به تغییر نام کاربری و کلمه عبور میباشد ، شما با وارد کردن رمز عبور و تکرار آن میوانید به سرعت رمز عبور خود را تغییر دهید ، اما در پشت پرده درخواست شما به سرور ارسال میشود و سرور با استفاده از کوکی های ارسالی توسط مرورگر و بررسی صحت آن ، درخواست شما را میپذیرد و رمز عبورتان تغییر میابد ، بنابر این اگر این درخواست از سوی شخص دیگری ارسال گردد از آنجایی که کوکی های ارسالی بی اعتبار است درخواست مربوطه توسط سرور رد میشود. حال اگر این درخواست بدون آنکه متوجه شوید از سوی شما ارسال گردد چه اتفاقی رخ خواهد داد؟

با استفاده از روش های موجود در زبان های Client Side میتوان صفحه ای طراحی کرد که با ورود به آن کوکیه شما که مربوط به سایت جاری است ، در داخل یک فرم قرار گیرد و بدون آنکه متوجه شوید و به صورت کاملا اتوماتیک فرم مذکور submit گردد و درواقع درخواستی از طرف شما به سوی سرور ارسال شود که این درخواست میتواند شامل تغییر رمز عبور باشد.

سناریوی توضیح داده شده را به اختصار CSRF مینامند. برای جلوگیری از CSRF میتوان از Captcha در صفحات حساس مانند مثال بالا استفاده نمود و تا زمانی که کاربر عبارت امنیتی را بصورت صحیح وارد ننماید ، درخواستش از طرف سرور مورد بررسی قرار نخواهد گرفت.

(تیم امنیتی Secure24 )

بازدید کل: 288162  |   بازدید دیروز: 138  |   بازدید امروز: 127926
نیرو گرفته از: سرور های قدرتمند رایان هاستینگ
1393 - تمامی حقوق توسط secure24 محفوظ است | خدمتی از: ره رایان پژوه
لطفا منتظر بمانید...