بررسی حملات CSRF
حملات CSRF مخفف Cross Site Request Forgery هست که تحت عنوان Session riding یا XSRF هم شناخته می شود.
به شکل معمول ، این حملات به منظور انجام اقدامات نفوذگر از نشست ساخته شده قربانی انتخاب می شود. اگر یک قربانی به سایت مورد هدف وارد شده باشد نفوذگر بر اساس این آسیب پذیری توانایی اجرای عملیاتی را با حساب کاربری قربانی دارد. این عملیات که بدون اجازه کاربر انجام می گیرد در صفحه آسیب پذیر رخ می دهد.
البته کاربرد این آسیب پذیری فقط به اینجا خلاصه نمی شود ، دلیل اینکه جعل درخواست ارسالی می تواند شامل هر درخواستی باشد روش های استفاده از این آسیب پذیری هم بر اساس مکان رویداد متفاوت هست. در این مطلب یک شکل ساده از این آسیب پذیری را با هم بررسی روش رفع آن را نیز بررسی میکنیم.
فرض کنید سایتی تحت عنوان www.fictitiousbank.com وجود دارد و شما به عنوان یک مشتری وارد حساب کاربری خود شده اید در این زمان نشستی(session) بین شما و سایت بانک ایجاد شده است.
حال برای درک بهتر مطلب ما یک سناریو به شکل زیر در نظر می گیریم:
صفحه ای تحت عنوان Transfer وجود دارد و اگر بخواهید مبلغی را از حسابتان به جایی انتقال دهید به این صفحه درخواست می فرستید. برای متوجه شدن چگونگی رخ دادن یک حمله جعل درخواست به تصویر زیر دقت کنید.
شامل 3 صفحه فایل word قابل ویرایش
دانلود مقاله بررسی حملات جعل درخواست CSRF