Isi kandungan:
- Definisi - Apa maksud Pemalsuan Permintaan Tapak Pelupusan (CSRF)?
- Techopedia menerangkan Pemalsuan Permintaan Lintang (CSRF)
Definisi - Apa maksud Pemalsuan Permintaan Tapak Pelupusan (CSRF)?
Pemalsuan permintaan silang tapak (CSRF) adalah sejenis eksploitasi laman web yang dijalankan dengan mengeluarkan perintah yang tidak dibenarkan daripada pengguna laman web yang dipercayai. CSRF mengeksploitasi kepercayaan laman web untuk pelayar pengguna tertentu, berbanding dengan skrip silang tapak, yang mengeksploitasi kepercayaan pengguna untuk laman web.
Istilah ini juga dikenali sebagai menunggang sesi atau serangan satu klik.
Techopedia menerangkan Pemalsuan Permintaan Lintang (CSRF)
CSRF biasanya menggunakan arahan "GET" pelayar sebagai titik eksploitasi. Pemalsu CSR menggunakan tag HTML seperti "IMG" untuk menyuntik arahan ke laman web tertentu. Seorang pengguna tertentu laman web tersebut kemudiannya digunakan sebagai tuan rumah dan rakan sejenis yang tidak disengajakan. Sering kali laman web tidak tahu bahawa ia sedang diserang, kerana pengguna yang sah sedang menghantar arahan. Penyerang mungkin mengeluarkan permintaan untuk memindahkan dana ke akaun lain, mengeluarkan lebih banyak dana atau, dalam hal PayPal dan laman web yang serupa, hantar wang ke akaun lain.
Serangan CSRF sukar dilaksanakan kerana beberapa perkara perlu dilakukan agar ia berjaya:
- Penyerang mesti menyasarkan sama ada laman web yang tidak memeriksa tajuk perujuk (yang umum) atau pengguna / mangsa dengan pelayar atau bug plug-in yang membolehkan spoofing rujukan (yang jarang berlaku).
- Penyerang mesti mencari penyerahan borang di laman web sasaran, yang mesti mampu seperti mengubah suai kelayakan login alamat e-mel mangsa atau melakukan pemindahan wang.
- Penyerang mesti menentukan nilai yang betul untuk semua input borang atau URL. Jika mana-mana daripada mereka dikehendaki menjadi nilai rahsia atau ID yang penyerang tidak dapat meneka tepat, serangan itu akan gagal.
- Penyerang mesti memikat pengguna / mangsa ke laman web dengan kod berniat jahat semasa mangsa masuk ke tapak sasaran.
Sebagai contoh, katakan bahawa Orang A sedang melayari akaun banknya semasa berada di bilik sembang. Terdapat penyerang (Person B) di ruang sembang yang mengetahui bahawa Person A juga masuk ke bank.com. Orang B menolong Orang A untuk mengklik pautan untuk imej lucu. Teg "IMG" mengandungi nilai untuk input borang bank.com, yang mana akan memindahkan jumlah tertentu dari akaun Orang A ke akaun Orang B. Jika bank.com tidak mempunyai pengesahan sekunder untuk Orang A sebelum dana dipindahkan, serangan itu akan berjaya.
