توضیحات
آموزش بررسی علل پیدایش حفرههای امنیتی سی اس آر اف
در یک حمله CSRF، هدف مهاجم این است که یک قربانی بی گناه را وادار کند که ناآگاهانه
یک درخواست وب ساخته شده به طور مخرب را بهآموزش بررسی علل پیدایش حفرههای امنیتی سی اس آر اف که قربانی دسترسی ممتاز
به آن دارد، ارسال کند. این درخواست وب میتواند به گونهای ساخته شود که شامل پارامتر
های URL، کوکیها و سایر دادههایی باشد که برای سرور وب در حال پردازش درخواست عادی
به نظر میرسند. در معرض خطر برنامه های کاربردی وب هستند که اقداماتی را بر اساس ورودی
کاربران قابل اعتماد و تأیید شده انجام می دهند بدون اینکه کاربر را مجبور به مجوز عمل خاص کند.
کاربری که توسط یک کوکی ذخیره شده در مرورگر وب کاربر احراز هویت میشود، میتواند ناآگاهانه
درخواست HTTP را به سایتی که به کاربر اعتماد دارد ارسال کند و در نتیجه باعث یک عمل ناخواسته شود.
آموزش بررسی علل پیدایش حفرههای امنیتی سی اس آر اف
این ویژگی توسط
حملات CSRF مورد سوء استفاده قرار میگیرد، زیرا هر درخواست وب که توسط مرورگر انجام میشود
به طور خودکار شامل هر کوکی (از جمله کوکیهای جلسه و سایر موارد) است که هنگام ورود قربانی
به یک وبسایت ایجاد میشود.
مرورگر خود ارسال کند، این کوکیهای به صورت خودکار شامل درخواست جعلی واقعی به سرور وب ظاهر
ایجاد را انجام میدهد. تغییرات در حساب قربانی
برای اینکه یک حمله CSRF کار کند، یک مهاجم باید یک درخواست وب قابل تکرار را شناسایی کند که یک عمل
خاص مانند تغییر رمز عبور حساب را در صفحه هدف انجام می دهد. هنگامی که چنین درخواستی شناسایی شد،
می توان پیوندی ایجاد کرد که این درخواست مخرب را ایجاد می کند و آن پیوند را می توان در صفحه ای در کنترل
مهاجم تعبیه کرد.[1][3] این لینک ممکن است به گونه ای قرار گیرد که حتی لازم نباشد قربانی روی لینک کلیک
کند. به عنوان مثال
باشد که وقتی قربانی ایمیل خود را باز می کند به طور خودکار بارگذاری می شود. هنگامی که قربانی روی پیوند
را به سرور وب ارسال می کند. سرور وب قادر نخواهد بود جعل را شناسایی کند زیرا این درخواست توسط کاربری