מהי זיוף בקשות בין אתרים (csrf)? - הגדרה מטכנולוגיה

הגדרה - מה המשמעות של זיוף בין-אתרים (CSRF)?

זיוף בקשות חוצות-אתרים (CSRF) הוא סוג של ניצול אתרים המתבצע על ידי הוצאת פקודות לא מורשות ממשתמש מהימן. CSRF מנצל את אמון האתר לדפדפן של משתמש מסוים, בניגוד לסקריפטים חוצה אתרים, המנצלים את אמון המשתמש לאתר.

מונח זה מכונה גם רכיבה על סשן או התקפה בלחיצה אחת.

Techopedia מסביר זיוף בין בקשות לאתר (CSRF)

CSRF בדרך כלל משתמש בפקודת "GET" של הדפדפן כנקודת הניצול. זייפני CSR משתמשים בתגי HTML כמו "IMG" כדי להזרים פקודות לאתר ספציפי. לאחר מכן משתמש מסוים באתר זה משמש כמארח ושותף שלא יודע. לעתים קרובות האתר אינו יודע שהוא מותקף, מכיוון שמשתמש לגיטימי שולח את הפקודות. התוקף עשוי להגיש בקשה להעברת כספים לחשבון אחר, משיכת כספים נוספים או במקרה של PayPal ואתרים דומים, לשלוח כסף לחשבון אחר.

קשה לבצע פיגוע של CSRF מכיוון שמספר דברים צריכים להתרחש כדי שזה יצליח:

• על התוקף למקד לאתר שאינו בודק את כותרת המפנה (הנפוצה) או למשתמש / קורבן עם דפדפן או באג פלאגין המאפשר זיוף מפנה (דבר נדיר).
• על התוקף לאתר מסירת טופס באתר היעד, אשר חייב להיות מסוגל למשהו כמו לשנות את פרטי הכניסה של כתובת הדוא"ל של הקורבן או לבצע העברות כספים.
• על התוקף לקבוע את הערכים הנכונים עבור כל כניסות הטופס או ה- URL. אם מישהו מהם נדרש להיות ערכים או תעודות זיהוי סודיות שהתוקף לא יכול לנחש במדויק, ההתקפה תיכשל.
• על התוקף לפתות את המשתמש / הקורבן לדף אינטרנט עם קוד זדוני בזמן שהקורבן מחובר לאתר היעד.

לדוגמה, נניח שאדם א 'גולש בחשבון הבנק שלו גם בחדר צ'אט. בחדר הצ'אט יש תוקף (אדם B) שלומד שאדם A מחובר גם ל- bank.com. אדם B מפתה את אדם A ללחוץ על קישור לתמונה מצחיקה. התג "IMG" מכיל ערכים לתשומות הטופס של bank.com, אשר יעברו למעשה סכום מסוים מחשבונו של אדם A לחשבון של אדם B. אם ל- bank.com אין אימות משני עבור אדם A לפני העברת הכספים, ההתקפה תצליח.