توضیحات

آموزش بررسی علل پیدایش حفره‌های امنیتی سی اس آر اف

در یک حمله CSRF، هدف مهاجم این است که یک قربانی بی گناه را وادار کند که ناآگاهانه

یک درخواست وب ساخته شده به طور مخرب را بهآموزش بررسی علل پیدایش حفره‌های امنیتی سی اس آر اف که قربانی دسترسی ممتاز

به آن دارد، ارسال کند. این درخواست وب می‌تواند به گونه‌ای ساخته شود که شامل پارامتر

های URL، کوکی‌ها و سایر داده‌هایی باشد که برای سرور وب در حال پردازش درخواست عادی

به نظر می‌رسند. در معرض خطر برنامه های کاربردی وب هستند که اقداماتی را بر اساس ورودی

کاربران قابل اعتماد و تأیید شده انجام می دهند بدون اینکه کاربر را مجبور به مجوز عمل خاص کند.

کاربری که توسط یک کوکی ذخیره شده در مرورگر وب کاربر احراز هویت می‌شود، می‌تواند ناآگاهانه

درخواست HTTP را به سایتی که به کاربر اعتماد دارد ارسال کند و در نتیجه باعث یک عمل ناخواسته شود.

آموزش بررسی علل پیدایش حفره‌های امنیتی سی اس آر اف

این ویژگی توسط

حملات CSRF مورد سوء استفاده قرار می‌گیرد، زیرا هر درخواست وب که توسط مرورگر انجام می‌شود

به طور خودکار شامل هر کوکی (از جمله کوکی‌های جلسه و سایر موارد) است که هنگام ورود قربانی

به یک وب‌سایت ایجاد می‌شود.

مرورگر خود ارسال کند، این کوکی‌های به صورت خودکار شامل درخواست جعلی واقعی به سرور وب ظاهر

 

ایجاد را انجام می‌دهد. تغییرات در حساب قربانی

برای اینکه یک حمله CSRF کار کند، یک مهاجم باید یک درخواست وب قابل تکرار را شناسایی کند که یک عمل

خاص مانند تغییر رمز عبور حساب را در صفحه هدف انجام می دهد. هنگامی که چنین درخواستی شناسایی شد،

می توان پیوندی ایجاد کرد که این درخواست مخرب را ایجاد می کند و آن پیوند را می توان در صفحه ای در کنترل

مهاجم تعبیه کرد.[1][3] این لینک ممکن است به گونه ای قرار گیرد که حتی لازم نباشد قربانی روی لینک کلیک

کند. به عنوان مثال

باشد که وقتی قربانی ایمیل خود را باز می کند به طور خودکار بارگذاری می شود. هنگامی که قربانی روی پیوند

 

را به سرور وب ارسال می کند. سرور وب قادر نخواهد بود جعل را شناسایی کند زیرا این درخواست توسط کاربری