Video: CSRF hujumi nima aniqlandi?
2024 Muallif: Lynn Donovan | [email protected]. Oxirgi o'zgartirilgan: 2023-12-15 23:54
Saytlararo so'rovni soxtalashtirish, shuningdek, bir marta bosish sifatida ham tanilgan hujum yoki sessiya riding va qisqartirilgan CSRF (ba'zan dengizda sörf deb talaffuz qilinadi) yoki XSRF - bu veb-ilova ishonadigan foydalanuvchidan ruxsatsiz buyruqlar uzatiladigan veb-saytdan zararli foydalanishning bir turi.
Shunday qilib, CSRF hujumi qanday ishlaydi?
Saytlararo so'rovni qalbakilashtirish ( CSRF ) hisoblanadi a hujum bu oxirgi foydalanuvchini hozirda autentifikatsiya qilingan veb-ilovada keraksiz harakatlarni bajarishga majbur qiladi. CSRF hujumlari maʼlumotlar oʻgʻirlanishi emas, balki davlatni oʻzgartiruvchi soʻrovlarga qaratilgan, chunki tajovuzkor soxta soʻrovga javobni koʻra olmaydi.
Xuddi shunday, CSRF tokeni nima va u qanday ishlaydi? Bu token , a deb ataladi CSRF tokeni yoki Sinxronizator Token , ishlaydi quyidagicha: Mijoz formani o'z ichiga olgan HTML sahifani so'raydi. Mijoz shaklni topshirganda, u ikkalasini ham yuborishi kerak tokenlar serverga qaytish. Mijoz cookie faylini yuboradi token cookie sifatida va u shaklni yuboradi token shakl ma'lumotlari ichida.
Bu borada CSRF misoli nima?
Saytlararo so'rovni qalbakilashtirish ( CSRF yoki XSRF) boshqasi misol xavfsizlik sanoati qo'rqinchli nomlar bilan chiqish qobiliyatida tengsiz ekanligi haqida. A CSRF zaiflik tajovuzkorga tizimga kirgan foydalanuvchini roziligisiz yoki bilmagan holda muhim amalni bajarishga majburlash imkonini beradi.
CSRFdan qanday himoyalanish mumkin?
6 ta harakat mumkin ga olib boring oldini olish a CSRF hujum Do bank saytida yoki moliyaviy operatsiyalarni amalga oshiradigan har qanday saytda autentifikatsiya qilingan holda elektron pochta xabarlarini ochmang, boshqa saytlarni ko‘rib chiqmang yoki boshqa ijtimoiy tarmoq aloqalarini amalga oshirmang.
Tavsiya:
Rojdestvo hujumi nima?
Rojdestvo daraxti hujumi - bu tarmoqdagi qurilmaga juda maxsus tayyorlangan TCP paketini yuborish uchun mo'ljallangan juda mashhur hujum. TCP sarlavhasida bayroqlar deb nomlangan bo'sh joy mavjud. Va bu bayroqlarning barchasi paket nima qilayotganiga qarab yoqiladi yoki o'chiriladi
Buzilgan kirishni boshqarish hujumi nima?
Buzilgan kirish nazorati nima? Kirish nazorati foydalanuvchilar oʻzlariga moʻljallangan ruxsatlardan tashqari harakat qila olmaydigan siyosatni amalga oshiradi. Muvaffaqiyatsizliklar odatda ma'lumotlarning ruxsatsiz oshkor etilishiga, barcha ma'lumotlarni o'zgartirishga yoki yo'q qilishga yoki foydalanuvchining chegaralaridan tashqarida biznes funktsiyasini bajarishga olib keladi
DLL injection hujumi nima?
Kompyuter dasturlashda DLL in'ektsiyasi dinamik bog'lanish kutubxonasini yuklashga majburlash orqali boshqa jarayonning manzil maydonida kodni ishlatish uchun ishlatiladigan usuldir. DLLinjection ko'pincha tashqi dasturlar tomonidan boshqa dasturning xatti-harakatlariga mualliflar kutmagan yoki niyat qilmagan tarzda ta'sir qilish uchun ishlatiladi
Cookie-fayllarni takrorlash hujumi nima?
Cookie-fayllarni takrorlash hujumi tajovuzkor foydalanuvchining haqiqiy cookie-faylini o‘g‘irlaganda va undan firibgar yoki ruxsatsiz tranzaksiyalar/faoliyatlarni amalga oshirish uchun o‘sha foydalanuvchi nomini o‘zgartirish uchun qayta ishlatganda sodir bo‘ladi
Misol bilan buferni to'ldirish hujumi nima?
Misol bilan buferni to'ldirish hujumi. Dastur yoki tizim jarayoni tomonidan ko'proq ma'lumotlar (dastlab saqlash uchun ajratilganidan) joylashtirilsa, qo'shimcha ma'lumotlar to'lib ketadi. Bu ma'lumotlarning bir qismini boshqa buferlarga oqib chiqishiga olib keladi, bu esa ularda saqlanayotgan ma'lumotlarni buzishi yoki qayta yozishi mumkin