Преглед садржаја:
- Дефиниција - Шта значи кривотворење захтева за више локација (ЦСРФ)?
- Тецхопедиа објашњава кривотворење захтева на више места (ЦСРФ)
Дефиниција - Шта значи кривотворење захтева за више локација (ЦСРФ)?
Кривотворење захтева на више локација (ЦСРФ) је врста искоришћавања веб локације која се врши издавањем неовлашћених наредби од поузданог корисника веб странице. ЦСРФ користи поверење веб локације за прегледач одређеног корисника, за разлику од скриптног скрипта, што користи поверење корисника за веб локацију.
Овај термин је такође познат као вожња сесијом или напад једним кликом.
Тецхопедиа објашњава кривотворење захтева на више места (ЦСРФ)
ЦСРФ обично користи наредбу "ГЕТ" прегледача као тачку искориштавања. ЦСР фалсификатори користе ХТМЛ ознаке као што су "ИМГ" да би убризгали команде на одређену веб локацију. Потом се одређени корисник те веб странице користи као домаћин и несвесни саучесник. Често веб локација не зна да је нападнута, јер легитимни корисник шаље команде. Нападач може издати захтев за пренос средстава на други рачун, повући више средстава или, у случају ПаиПал-а и сличних локација, послати новац на други рачун.
ЦСРФ напад је тешко извести јер се морају догодити бројне ствари да би успео:
- Нападач мора циљати или веб локацију која не проверава заглавље препоруке (што је уобичајено) или корисника / жртву помоћу прегледача или додатака који омогућавају подметање препоруке (што је ретко).
- Нападач мора да пронађе предају обрасца на циљној веб локацији која мора бити способна за нешто попут промене поверљивих података за пријаву на е-адресу жртве или обављања трансфера новца.
- Нападач мора да утврди тачне вредности за све уносе обрасца или УРЛ адресе. Ако се за било који од њих тражи да буду тајне вредности или личне карте за које нападач не може тачно да претпостави, напад неће успети.
- Нападач мора намамити корисника / жртву на веб страницу са злонамерним кодом док је жртва пријављена на циљно место.
На пример, претпоставимо да особа А прегледава свој банковни рачун док је такође у соби за ћаскање. У соби за ћаскање постоји нападач (Особа Б) који сазнаје да је и Особа А пријављена на банк.цом. Особа Б намамљује особу А да кликне на везу за смешну слику. Ознака „ИМГ“ садржи вредности за уносе обрасца банк.цом, који ће ефективно пренети одређени износ са рачуна особе А на рачун особе Б. Ако банк.цом нема секундарну аутентификацију за особу А пре преноса средстава, напад ће бити успешан.
