Tarpvalstybinių užklausų klastojimas (CSRF) yra vienas seniausių būdų išnaudoti svetainės pažeidžiamumą. Jis nukreiptas į serverio žiniatinklio jungiklius, kuriems paprastai reikia autentifikavimo, pvz., Prisijungimo. CSRF atakos metu užpuolikas siekia priversti savo auką jų vardu pateikti neteisėtą, kenkėjišką žiniatinklio užklausą.

Silpna ar prasta svetainės saugumo praktika ir nerūpestingumas vartotojo kelyje yra keletas dažniausių sėkmingos CSRF atakos priežasčių.

Pažvelkime, kas yra CSRF ataka ir galimi būdai, kaip apsisaugoti nuo jo kaip kūrėjo ar vartotojo.

Kaip CSRF atakos veikia jus?

CSRF yra ataka, naudojama neteisėtoms užklausoms įgyvendinti vykdant žiniatinklio veiksmus, kuriems reikia vartotojo prisijungimo ar autentifikavimo. CSRF atakos gali pasinaudoti sesijos ID, slapukais ir kitomis serverio spragomis, kad pavogtų vartotojo kredencialus.

Pavyzdžiui, įjungus anti-CSRF procedūras, užkertamas kelias skirtingų domenų kenkėjiškai sąveikai.

Kai ši kliūtis nutrūks, užpuolikas gali greitai pasinaudoti vartotojo sesijos ID naudodamas vartotojo naršyklės sukurtus slapukus ir į pažeidžiamą svetainę įterpti scenarijaus žymą.

instagram viewer

Manipuliuodamas ID, užpuolikas taip pat gali nukreipti lankytojus į kitą tinklalapį arba išnaudoti socialinės inžinerijos metodai kaip el. laiškas siųsti nuorodas, skatinant auką atsisiųsti kenkėjišką programinę įrangą.

Kas yra socialinė inžinerija? Štai kaip galite būti nulaužti

Sužinokite, kaip socialinė inžinerija gali jus paveikti, taip pat įprasti pavyzdžiai, padėsiantys atpažinti šias schemas ir saugotis jų.

Nukentėjusiajam atlikus tokius veiksmus, jis siunčia HTTP užklausą į vartotojo paslaugų puslapį ir įgalina užklausos veiksmą užpuoliko naudai. Tai gali būti pražūtingas nieko neįtariančiam vartotojui.

Sėkminga CSRF ataka gali priversti įgaliotus vartotojus prarasti prieigos duomenis užpuolikui, ypač atliekant serverio veiksmus, pvz., Slaptažodžio ar vartotojo vardo keitimo užklausas. Blogesniais atvejais užpuolikas perima visą sesiją ir veikia vartotojų vardu.

CSRF buvo naudojamas pagrobiant internetinio fondo operacijas, taip pat pakeitus vartotojo vardus ir slaptažodžius, dėl kurių vartotojai praranda prieigą prie paveiktos paslaugos.

Kaip užpuolikai užgrobia jūsų seansus naudodami CSRF: pavyzdžiai

Pagrindiniai CSRF atakų tikslai yra žiniatinklio veiksmai, susiję su vartotojo autentifikavimu. Norint būti sėkmingam, reikia aukos netyčinių veiksmų.

CSRF atakos metu pagrindiniai užpuoliko taikiniai yra GET, DELETE ir PUT veiksmai, taip pat pažeidžiamos POST užklausos.

Pažvelkime į šių terminų reikšmę:

  • GAUTI: Prašymas surinkti rezultatą iš duomenų bazės; pavyzdžiui, „Google“ paieška.
  • PAŠTAS: Paprastai teikiant užklausas per internetines formas. POST užklausa yra įprasta registruojantis ar prisijungiant vartotojui, kitaip vadinama autentifikavimu.
  • IŠTRINTI: Norėdami pašalinti šaltinį iš duomenų bazės. Tai darote visada, kai ištrinate savo paskyrą iš tam tikros žiniatinklio paslaugos.
  • PUT: PUT užklausa modifikuoja arba atnaujina esamą šaltinį. Pavyzdys yra pakeisti savo „Facebook“ vardą.

Praktiškai užpuolikai naudoja seanso užgrobimą, kad paremtų CSRF ataką. Naudodamas šį derinį, užpuolikas gali naudoti užgrobimą, kad pakeistų aukos IP adresą.

Tada pakeitus IP adresą auka prisijungiama prie naujos svetainės, kur užpuolikas įterpė apgaulingą nuorodą, kuri pateikia pakartotinę formą arba modifikuotą serverio užklausą, kurią jie sukūrė per CSRF.

Tada nieko neįtariantis vartotojas mano, kad peradresavimą teikia paslaugų teikėjas ir spustelėja nuorodą užpuoliko tinklalapyje. Tai padarę įsilaužėliai, be jų žinios, pateikia formą įkeliant puslapį.

„GET Request CSRF Attack“ pavyzdys

Įsivaizduokite, kaip bandote atlikti mokėjimą internetu per neužtikrintą el. Prekybos platformą. Platformos savininkai naudojasi GET užklausa jūsų operacijai apdoroti. GET užklausa gali atrodyti taip: 

https://websiteurl/pay? suma = 10 USD ir įmonė = [įmonės ABC sąskaita]

Pagrobėjas gali lengvai pavogti jūsų operaciją, pakeisdamas GET užklausos parametrus. Norėdami tai padaryti, jiems tereikia pasikeisti vardą savo vardu, o dar blogiau - pakeisti sumą, kurią ketinate mokėti. Tada jie pakoreguoja pradinę užklausą maždaug taip: 

https://websiteurl/pay? suma = 20000 USD ir kompanija = [užpuoliko sąskaita]

Spustelėję nuorodą į tą pakeistą GET užklausą, jūs netyčia perkeliate į užpuoliko paskyrą.

Sandoriai per GET užklausas yra bloga praktika, todėl veikla tampa pažeidžiama atakų atžvilgiu.

POST užklausos CSRF atakos pavyzdys

Tačiau daugelis kūrėjų mano, kad naudojant POST užklausą saugiau atlikti žiniatinklio operacijas. Nors tai tiesa, deja, POST užklausa taip pat gali pakenkti CSRF.

Norint sėkmingai užgrobti POST užklausą, užpuolikui reikia tik dabartinio seanso ID, pakartotų nematomų formų ir kartais šiek tiek socialinės inžinerijos.

Pvz., POST užklausos forma gali atrodyti taip:

Tačiau užpuolikas gali pakeisti jūsų kredencialus, sukurdamas naują puslapį ir pakeisdamas aukščiau esančią formą į šią:

Manipuliuojamoje formoje užpuolikas nustato sumos lauko vertę į „30000“, keičia gavėjo sąskaitos numerį, pateikia formą įkeliant puslapį, taip pat slepia formos laukus Vartotojas.

Kai jie užgrobia tą dabartinį seansą, jūsų operacijų puslapis inicijuoja nukreipimą į užpuoliko puslapį, kuris ragina spustelėti nuorodą, kurią jie žino, kad greičiausiai aplankysite.

Spustelėjus šį įkeliama pakartotos formos pateikimas, kuris perveda jūsų lėšas į užpuoliko sąskaitą. Tai reiškia, kad jums nereikia spausti tokių mygtukų kaip „siųsti“, kad įvyktų operacija, nes „JavaScript“ tai automatiškai atlieka įkeldama kitą tinklalapį.

Arba užpuolikas taip pat gali parengti HTML įdėtą el. Laišką, kuriame raginama spustelėti nuorodą, kad būtų galima pateikti tą patį puslapio įkėlimo formos pateikimą.

Kitas veiksmas, kuris yra pažeidžiamas CSRF atakai, yra vartotojo vardo ar slaptažodžio pakeitimas, PUT užklausos pavyzdys. Užpuolikas pakartoja jūsų užklausos formą ir pakeičia jūsų el. Pašto adresą savo.

Tada jie pavagia jūsų seansą ir nukreipia jus į puslapį, arba atsiunčia el. Laišką, kuriame raginama spustelėti patrauklią nuorodą.

Tada pateikiama manipuliuojama forma, kuri siunčia slaptažodžio nustatymo nuorodą įsilaužėlio, o ne jūsų, el. Pašto adresu. Tokiu būdu įsilaužėlis pakeičia jūsų slaptažodį ir atsijungia nuo paskyros.

Kaip užkirsti kelią CSRF kaip kūrėjo atakoms

Vienas iš geriausių būdų užkirsti kelią CSRF yra būsenos keitimo serveryje paleidimas dažnai keičiant žetonus, o ne priklausomai nuo sesijos slapukų.

Susijęs: Nemokami vadovai, kaip suprasti skaitmeninį saugumą ir apsaugoti jūsų privatumą

Daugelis šiuolaikinių „backend“ sistemų siūlo apsaugą nuo CSRF. Taigi, jei norite patys išvengti CSRF tobulinimo, galite tai lengvai išspręsti naudodami serverio pusės sistemas, kurios pateikiamos su įmontuotais anti-CSRF žetonais.

Kai naudojate anti-CSRF prieigos raktą, serverio užklausos sukuria atsitiktines eilutes, o ne labiau statinius pažeidžiamus sesijos slapukus. Tokiu būdu jūs galite apsaugoti savo sesiją nuo užgrobėjo atspėjimo.

Įdiegus dviejų veiksnių autentifikavimo (2FA) sistemą operacijoms vykdyti jūsų žiniatinklio programoje, sumažėja ir CSRF tikimybė.

CSRF galima inicijuoti naudojant kelių svetainių scenarijus (XSS), kuris apima scenarijaus injekciją į tokius vartotojo laukus kaip komentarų formos. Norėdami to išvengti, geriausia praktika įgalinti HTML automatinį pabėgimą visuose vartotojo formos laukuose visoje jūsų svetainėje. Šis veiksmas neleidžia formos laukams interpretuoti HTML elementų.

Kaip užkirsti kelią CSRF atakoms kaip vartotojui

Kaip žiniatinklio paslaugos, susijusios su autentifikavimu, naudotojas, jūs turite atlikti tam tikrą vaidmenį, kad užpuolikai taip pat negalėtų pavogti jūsų kredencialų ir sesijų per CSRF.

Įsitikinkite, kad naudojate patikimas žiniatinklio paslaugas vykdydami veiklą, susijusią su lėšų pervedimu.

Be to, naudokite saugios interneto naršyklės kurie apsaugo vartotojus nuo seansų poveikio, taip pat saugius paieškos variklius, apsaugančius nuo paieškos duomenų nutekėjimo.

Susijęs: Geriausios privačios paieškos sistemos, kurios gerbia jūsų duomenis

Kaip vartotojas taip pat galite priklausyti nuo tokių trečiųjų šalių autentifikatorių, kaip „Google“ autentifikavimo priemonė ar jos alternatyvos kad patvirtintumėte savo tapatybę internete.

Nors galite jaustis bejėgis sustabdyti užpuoliką užgrobiant jūsų sesiją, vis tiek galite padėti to išvengsite užtikrindami, kad jūsų naršyklėje nebūtų saugoma tokia informacija kaip slaptažodžiai ir kiti prisijungimo duomenys detales.

Išsaugokite savo interneto saugumą

Kūrėjai turi reguliariai tikrinti, ar žiniatinklio programose nėra saugumo pažeidimų kuriant ir diegiant.

Tačiau įprasta įvesti kitų pažeidžiamumų bandant užkirsti kelią kitiems. Taigi būkite atsargūs ir įsitikinkite, kad bandydami užblokuoti CSRF nepažeidėte kitų saugos parametrų.

El
5 slaptažodžių įrankiai, skirti sukurti stiprias slaptažodžių frazes ir atnaujinti saugumą

Sukurkite tvirtą slaptažodį, kurį galėsite prisiminti vėliau. Naudokite šias programas, kad šiandien atnaujintumėte saugumą naudodami naujus tvirtus slaptažodžius.

Susijusios temos
  • Saugumas
  • Internetinis saugumas
Apie autorių
Idowu Omisola (Paskelbti 46 straipsniai)

Idowu yra aistringas dėl bet kokių protingų technologijų ir produktyvumo. Laisvalaikiu jis žaidžia su kodavimu ir, kai nuobodu, pereina prie šachmatų lentos, tačiau taip pat mėgsta kartkartėmis atitrūkti nuo rutinos. Aistra parodyti žmonėms kelią į šiuolaikines technologijas skatina daugiau rašyti.

Daugiau iš Idowu Omisola

Prenumeruokite mūsų naujienlaiškį

Prisijunkite prie mūsų naujienlaiškio, kuriame rasite techninių patarimų, apžvalgų, nemokamų el. Knygų ir išskirtinių pasiūlymų!

Dar vienas žingsnis…!

Prašome patvirtinti savo el. Pašto adresą el. Laiške, kurį jums ką tik išsiuntėme.

.