Кривотворење захтева за више локација (ЦСРФ) један је од најстаријих начина искоришћавања рањивости веб локације. Циља се на мрежне комутаторе на страни сервера који обично захтевају потврду идентитета, попут пријављивања. Током напада ЦСРФ, нападач има за циљ присилити своју жртву да у њихово име поднесе неовлашћени, злонамерни веб захтев.

Слаба или лоша безбедносна пракса веб страница и непажња на путу корисника неки су од честих узрока успешног ЦСРФ напада.

Погледајмо шта је ЦСРФ напад и могуће начине на које се можете спречити као програмер или као корисник.

Како ЦСРФ напади утичу на вас?

ЦСРФ је напад који се користи за спровођење неовлашћених захтева током веб акција које захтевају пријављивање корисника или потврду идентитета. ЦСРФ напади могу да искористе ИД-ове сесија, колачиће, као и друге рањивости засноване на серверу за крађу акредитива корисника.

На пример, омогућавање анти-ЦСРФ процедура спречава злонамерне интеракције између различитих домена.

Када се та препрека пробије, нападач може брзо искористити ИД корисничке сесије путем колачића које је креирао корисников прегледач и уградити ознаку скрипте у рањиву веб локацију.

instagram viewer

Манипулишући ИД, нападач такође може да преусмери посетиоце на другу веб страницу или да их експлоатише методе социјалног инжењеринга попут е-поште за слање веза, подстичући жртву да преузме злонамерни софтвер.

Шта је социјални инжењеринг? Ево како бисте могли бити хаковани

Сазнајте како социјални инжењеринг може утицати на вас, плус уобичајене примере који ће вам помоћи да се идентификујете и заштитите од ових шема.

Једном када жртва изврши такве радње, она шаље ХТТП захтев на страницу услуге корисника и одобрава радњу захтева у корист нападача. То може бити поражавајуће за несумњивог корисника.

Успешан ЦСРФ напад може учинити да ауторизовани корисници изгубе приступне податке за нападача, посебно током радњи заснованих на серверу, попут захтева за променом лозинке или корисничког имена. У горим сценаријима, нападач преузима читаву сесију и делује у име корисника.

ЦСРФ се користи за отмице трансакција преко Интернета, као и за промену корисничких имена и лозинки, што доводи до тога да корисници губе приступ погођеној услузи.

Како нападачи отимају ваше сесије ЦСРФ-ом: примери

Главни циљеви ЦСРФ напада су мрежне акције које укључују аутентификацију корисника. Да би била успешна, потребне су ненамерне радње жртве.

Током ЦСРФ напада, ГЕТ, ДЕЛЕТЕ и ПУТ акције, као и рањиви ПОСТ захтеви су главне мете нападача.

Погледајмо значење тих израза:

  • ДОБИТИ: Захтев за прикупљање резултата из базе података; на пример, Гоогле претрага.
  • ПОШТА: Типично за подношење захтева путем веб образаца. ПОСТ захтев је уобичајен током корисникове регистрације или пријаве, иначе познате као потврда идентитета.
  • ИЗБРИШИ: Да бисте уклонили ресурс из базе података. То радите сваки пут када избришете налог са одређене веб услуге.
  • СТАВИТИ: Захтев ПУТ модификује или ажурира постојећи ресурс. Пример је промена имена на Фејсбуку.

У пракси нападачи користе отмице сесија да би направили резервну копију ЦСРФ напада. Када користи ову комбинацију, нападач може отмицом променити ИП адресу жртве.

Промена ИП адресе затим пријављује жртву на нову веб локацију где је нападач убацио лажну везу која шаље репликовани образац или модификовани захтев сервера који су креирали путем ЦСРФ-а.

Корисник који несумњиво мисли да преусмеравање долази од добављача услуга и кликне на везу на веб страници нападача. Када то ураде, хакери предају образац при учитавању странице без њиховог знања.

Пример напада ГЕТ захтева ЦСРФ

Замислите да покушавате да извршите онлајн плаћање путем незаштићене платформе за е-трговину. Власници платформе користе ГЕТ захтев за обраду ваше трансакције. Тај ГЕТ упит може изгледати овако: 

https://websiteurl/pay? износ = 10 УСД & компанија = [рачун компаније АБЦ]

Отмичар може лако да украде вашу трансакцију променом параметара ГЕТ захтева. Да би то урадили, све што им треба је да замене ваше име са својим, и још горе, промене износ који намеравате да платите. Затим првобитни упит преокрећу на нешто овако: 

https://websiteurl/pay? износ = 20000 УСД & компанија = [рачун нападача]

Једном када кликнете везу на тај модификовани ГЕТ захтев, на крају ћете извршити ненамерни трансфер на рачун нападача.

Трансакција кроз ГЕТ захтеве је лоша пракса и чини активности рањивим на нападе.

Пример напада ПОСТ захтева ЦСРФ

Међутим, многи програмери верују да је коришћење ПОСТ захтева сигурније за обављање веб трансакција. Иако је то тачно, ПОСТ захтев је такође подложан ЦСРФ нападима.

Да би успешно отео ПОСТ захтев, нападачу су потребни само ваш тренутни ИД сесије, неки пресликани невидљиви обрасци и понекад мало друштвеног инжењеринга.

На пример, образац захтева за ПОСТ може изгледати овако:

Међутим, нападач може заменити ваше акредитиве тако што ће направити нову страницу и модификовати горњи образац у овај:

У манипулисаном облику, нападач поставља вредност поља за износ на „30000“, замењује број рачуна примаоца на свој, предаје образац при учитавању странице, а такође сакрива поља обрасца корисник.

Једном када отму тренутну сесију, ваша страница трансакције покреће преусмеравање на страницу нападача, што вас тражи да кликнете на везу за коју знају да ћете је највероватније посетити.

Кликом на ово учитава се подношени репликативни образац који преноси ваша средства на рачун нападача. То значи да не морате да кликнете на дугмад попут „пошаљи“ да би се трансакција догодила, јер ЈаваСцрипт то аутоматски чини приликом учитавања следеће веб странице.

Алтернативно, нападач такође може израдити ХТМЛ уграђену е-пошту која вас тражи да кликнете на везу да бисте извршили исту предају обрасца за учитавање странице.

Још једна радња која је осетљива на ЦСРФ напад је корисничко име или промена лозинке, пример захтева ПУТ. Нападач копира образац вашег захтева и замењује вашу адресу е-поште њиховом.

Затим вам украду сесију и преусмере вас на страницу или вам пошаљу е-пошту која вас пита да кликнете на привлачну везу.

Тада се шаље манипулисани образац који везу за поновно постављање лозинке шаље на хакерову е-адресу уместо на вашу. На тај начин хакер мења вашу лозинку и одјављује вас са налога.

Како спречити ЦСРФ нападе као програмер

Једна од најбољих метода за спречавање ЦСРФ-а је употреба често променљивих токена, уместо у зависности од колачића сесије за покретање промене стања на серверу.

Повезан: Бесплатни водичи за разумевање дигиталне безбедности и заштиту ваше приватности

Многи савремени позадински оквири нуде сигурност против ЦСРФ-а. Дакле, ако желите сами да избегнете техничке појаве против ЦСРФ-а, можете се лако позабавити помоћу оквира на страни сервера који долазе са уграђеним анти-ЦСРФ токенима.

Када користите анти-ЦСРФ токен, захтеви засновани на серверу генеришу насумичне низове уместо статичнијих рањивих колачића сесије. На тај начин ћете заштитити сесију од отмичара.

Имплементација двофакторског система за потврду идентитета (2ФА) за покретање трансакција у вашој веб апликацији такође смањује шансе за ЦСРФ.

Могуће је покренути ЦСРФ путем скриптирања на више локација (КССС), што укључује убризгавање скрипте у корисничка поља попут образаца коментара. Да бисте то спречили, добра је пракса да омогућите аутоматско избегавање ХТМЛ-а у свим пољима корисничког обрасца на вашој веб локацији. Та акција спречава поља обрасца да тумаче ХТМЛ елементе.

Како спречити ЦСРФ нападе као корисник

Као корисник веб услуге која укључује потврду идентитета, морате да играте улогу у спречавању нападача да такође украду ваше акредитиве и сесије путем ЦСРФ-а.

Обавезно користите поуздане веб услуге током активности које укључују пренос средстава.

Поред овога, користите сигурни веб прегледачи који штите кориснике од излагања сесији, као и сигурне претраживаче који штите од цурења података о претрази.

Повезан: Најбољи приватни претраживачи који поштују ваше податке

Као корисник можете да зависите и од независних аутентификатора попут Гоогле Аутхентицатор или његове алтернативе за верификацију вашег идентитета путем веба.

Иако се можда осећате беспомоћно да спречите нападача да отме вашу сесију, и даље можете помоћи спречите ово тако што ћете осигурати да ваш прегледач не чува информације попут лозинки и других података за пријављивање детаљи.

Побољшајте своју веб сигурност

Програмери морају редовно да тестирају веб апликације на кршења безбедности током развоја и примене.

Међутим, уобичајено је увести друге рањивости док покушавате да спречите друге. Зато будите опрезни и уверите се да нисте прекршили друге безбедносне параметре док сте покушавали да блокирате ЦСРФ.

Емаил
5 Алата за лозинку за стварање јаких приступних фраза и ажурирање ваше сигурности

Створите јаку лозинку које ћете се касније сјећати. Користите ове апликације да бисте данас надоградили безбедност новим снажним лозинкама.

Повезане теме
  • Сигурност
  • Безбедност на мрежи
О аутору
Идову Омисола (46 чланака објављено)

Идову је страствен у вези са свим паметним технологијама и продуктивношћу. У слободно време игра се са кодирањем и пребацује се на шаховску таблу када му је досадно, али такође воли да се повремено отргне од рутине. Његова страст да људима покаже пут око модерне технологије мотивише га да пише више.

Још од Идову Омисола

Претплатите се на наш билтен

Придружите се нашем билтену за техничке савете, прегледе, бесплатне е-књиге и ексклузивне понуде!

Још један корак…!

Молимо потврдите своју адресу е-поште у е-поруци коју смо вам управо послали.

.