Ano ang pagtawad ng kahilingan sa cross-site (csrf)? - kahulugan mula sa techopedia

Kahulugan - Ano ang ibig sabihin ng Kahilingan sa Cross-Site Kahilingan (CSRF)?

Ang pagtawad ng kahilingan sa cross-site (CSRF) ay isang uri ng pagsasamantala sa website na isinasagawa sa pamamagitan ng pag-isyu ng hindi awtorisadong utos mula sa isang pinagkakatiwalaang gumagamit ng website. Sinasamantala ng CSRF ang tiwala ng isang website para sa browser ng isang partikular na gumagamit, kumpara sa script ng cross-site, na sinasamantala ang tiwala ng gumagamit para sa isang website.

Ang term na ito ay kilala rin bilang session riding o isang pag-atake na i-click.

Ipinapaliwanag ng Techopedia ang Cross-Site Hiling ng Pagpatawad (CSRF)

Karaniwang ginagamit ng isang CSRF ang utos na "GET" ng browser bilang punto ng pagsasamantala. Ang mga nagpapatawad ng CSR ay gumagamit ng mga tag ng HTML tulad ng "IMG" upang mag-iniksyon ng mga utos sa isang tukoy na website. Ang isang partikular na gumagamit ng website na iyon ay ginamit bilang isang host at isang hindi sinasadya kasabwat. Kadalasan ang website ay hindi alam na ito ay nasa ilalim ng pag-atake, dahil ang isang lehitimong gumagamit ay nagpapadala ng mga utos. Ang mag-aatake ay maaaring mag-isyu ng isang kahilingan upang maglipat ng mga pondo sa ibang account, mag-withdraw ng mas maraming mga pondo o, sa kaso ng PayPal at mga katulad na site, magpadala ng pera sa isa pang account.

Ang isang pag-atake sa CSRF ay mahirap isagawa sapagkat maraming mga bagay ang dapat mangyari upang magtagumpay ito:

• Ang pag-atake ay dapat i-target ang alinman sa isang website na hindi suriin ang header ng referrer (na pangkaraniwan) o isang gumagamit / biktima na may isang browser o plug-in na nagbibigay-daan sa referrer spoofing (na bihirang).
• Kailangang hanapin ng magsasalakay ang isang pagsumite ng form sa target na website, na dapat may kakayahang isang bagay tulad ng pagpapalit ng mga email sa pag-login sa mga kredensyal sa pag-login o paggawa ng mga paglilipat ng pera.
• Ang mananalakay ay dapat matukoy ang mga tamang halaga para sa lahat ng mga input o form ng URL. Kung ang alinman sa mga ito ay kinakailangan na maging mga lihim na halaga o mga ID na hindi tumpak na hulaan ng nagsasalakay, mabibigo ang pag-atake.
• Ang akusado ay dapat ma-engganyo ang gumagamit / biktima sa isang web page na may nakakahamak na code habang ang biktima ay naka-log in sa target na site.

Halimbawa, ipagpalagay na ang Tao A ay nagba-browse sa kanyang bank account habang nasa isang chat room din. May isang umaatake (Tao B) sa chat room na nalaman na ang Tao A ay naka-log in din sa bank.com. Ang Tao B ay humihikayat sa Tao A na mag-click sa isang link para sa isang nakakatawang imahe. Ang tag na "IMG" ay naglalaman ng mga halaga para sa mga input ng form ng bank.com, na epektibong ilipat ang isang tiyak na halaga mula sa account ng Tao A sa account ng Tao B. Kung ang bank.com ay walang pangalawang pagpapatunay para sa Tao A bago ililipat ang mga pondo, matagumpay ang pag-atake.