حملات جعل درخواست یا CSRF

CSRF
تصویر شاخص

حمله csrf چیست؟

حملات جعل درخواست (csrf) که با عنوان های XSRF، Sea Surf یا Session Siding نیز شناخته می شود، حمله ای است که منجر به اجرای دستورات غیر مجاز توسط کاربر در برنامه های کاربردی وب میشود. یک حمله موفق CSRF می تواند منجر به تغییر حساب بانکی در هنگام انتقال پول، تغییر رمزهای عبور، سرقت اطلاعات از جمله کوکی ها و یا اجرای دستورات غیر مجاز در برنامه های کاربردی وب شود.

حملات CSRF به طور معمول با استفاده از مهندسی اجتماعی (social engineering)، تارگت را مورد هدف قرار می دهد به گونه ای که منجر به ارسال درخواست های غیر مجاز به سمت سرور می شود.

 

 

مثالی برای حملات CSRF

۱- قبل از حمله، ابتدا هکر یک برنامه کاربردی را برای کشف این آسیب پذری اسکن می کند و بعد از پیدا کردن اقدامات زیر انجام می شود.

۲- به عنوان مثال، یک درخواست GET معمولی برای انتقال ۱۰۰ دلار پول برای حساب بانکی ارسال می شود.

				
					GET http://bank.com/transfer.do?acct=Netk&amount=$100 HTTP/1.1
				
			

۳- هکر میتواند با تغییر دستور بالا، مبلغ انتقالی را به حساب خودش تغییر بدهد.

				
					GET http://bank.com/transfer.do?acct=hacker&amount=$100 HTTP/1.1
				
			

۴- همچنین هکر می تواند درخواست مخرب خود را از طریق یک لینک برای قربانی خود بفرستد.

				
					<a href="http://bank.com/transfer.do?acct=hacker&amount=$100">بیشتر بخوانید!</a>
				
			

ا در نظر گرفتن مطالب گفته شده، میتوان نتیجه گرفت که هکر با ارسال ایمیل به تعداد زیادی از مشتریان بانکی، میتواند از حساب آنها پول برداشت کند. کسانی که روی لینک کلیک می کنند در حالی که به حساب بانکی خود وارد شده اند، اما به طور ناخواسته به حساب بانکی هکر ۱۰۰ دلار واریز می کنند.

توجه داشته باشید که اگر وب سایت بانکی از درخواست های POST به جای GET استفاده کند، دیگر فریم های ارسالی با استفاده از تگ href جوابگو نخواهد بود. با این حال، حمله می تواند در یک تگ <form> با استفاده از JavaScript صورت پذیرد. به مثال زیر دقت کنید:

				
					<body onload="document.forms[0].submit()">
   <form action="http://bank.com/transfer.do" method="POST">
     <input type="hidden" name="acct" value="AttackerA"/>
     <input type="hidden" name="amount" value="$100"/>
     <input type="submit" value="مشاهده تصویر"/>
   </form>
 </body>
				
			
کاهش حملات CSRF

برای پیشگیری و کاهش حملات CSRF برخی روش ها وجود دارد که بهترین آن ها عبارتند از:

هنگام استفاده نکردن از برنامه کاربردی وب، از حساب کاربری خود خارج شوید.
تامین امنیت گذرنامه ها و نام های کاربری خود.
اجازه ندادن به مرورگرها برای ذخیره پسوردها.
به صورت همزمان از چند صفحه دیدن نکنید.

برای برنامه های کاربردی وب، راه حل های متعددی برای جلوگیری از ترافیک مخرب و جعلی وجود دارد. از جمله رایج ترین این روش ها، ایجاد یک ID منحصر به فرد برای هر درخواست است که این ID توسط سرور بررسی و تایید می شود. درخواست های دارای شناسه تکراری یا عدم تطابق آن با شناسه موجود در سرور، بلاک شده و منسوخ می شود.

ارسال ۲ بار کوکی ها نیز یکی دیگر از روش های شناخته شده برای جلوگیری از حملات CSRF است. همانند روش قبلی، نشانه های تصادفی به دو کوکی و یک پارامتر درخواست اختصاص داده می شوند. سپس سرور قبل از اعطای دسترسی به برنامه، کوکی ها را بررسی می کند.

اما مهم ترین آن، ماهیت فردی حملات CSRF است که این کار تنها از طریق آموزش کارمندان حاصل میشود. با آگاهی داشتن کامل تمامی کارمندان یک سازمان یا شرکت، احتمال دچار شدن به همچین حملاتی به صورت چشمگیر کاهش می یابد.

دیدگاهتان را با ما درمیان بگذارید
تعداد دیدگاه : 0
امتیاز کلی : 0.0
پیشنهاد شده توسط : 0 کاربر
بر اساس 0 فروش
0
0
0
0
0

هیچ دیدگاهی برای این محصول نوشته نشده است.

لطفا پیش از ارسال نظر، خلاصه قوانین زیر را مطالعه کنید:

فارسی بنویسید و از کیبورد فارسی استفاده کنید. بهتر است از فضای خالی (Space) بیش‌از‌حدِ معمول، شکلک یا ایموجی استفاده نکنید و از کشیدن حروف یا کلمات با صفحه‌کلید بپرهیزید.

نظرات خود را براساس تجربه و استفاده‌ی عملی و با دقت به نکات فنی ارسال کنید؛ بدون تعصب به محصول خاص، مزایا و معایب را بازگو کنید و بهتر است از ارسال نظرات چندکلمه‌‌ای خودداری کنید.
اولین کسی باشید که دیدگاهی می نویسد “حملات جعل درخواست یا CSRF”

نشانی ایمیل شما منتشر نخواهد شد.

قیمت دوره

رایگان

امتیازی ثبت نشده است
سطح آموزش مقدماتی
تعداد دانشجو : 0
تاریخ انتشار: ۷ خرداد ۱۴۰۱آخرین بروزرسانی: 7 خرداد 1401تعداد بازدید: 37
قوانین و مزایای استفاده

  • دسترسی به فایل محصول به صورت مادام‌العمر
  • تضمین کیفیت آموزش ها
  • فعال‌سازی آنی لینک دانلود، پس از ثبت سفارش
  • فروش فقط از طریق آکادمی نتکا
  • به صورت رایگان یک یا چند آموزش را دریافت می کنید.
مدرس

حامد نوری

کارشناس حوزه امنیت شبکه و امنیت اطلاعات

قیمت دوره

رایگان