notification icon
Ne maradj le semmiről! Iratkozz fel értesítéseinkre!

A CSRF (Cross-Site Request Forgeries) sebezhetőség

hirdetes

A CSRF (Cross-Site Request Forgeries) sebezhetőség

Döbrentei István
Facebook logo

KÖVESS MINKET

FACEBOOKON

A nevéből következtetve itt egy webalkalmazásoknál használt „kereszt oldali kérés” hamisításról van szó. Lehet, hogy sokaknak ez nem mond semmit, de érdemes tisztában lenni vele, mert segítségével könnyen áldozattá válhatunk.

A CSRF (Cross-Site Request Forgeries) sebezhetőség

A CSRF (Cross-Site Request Forgery) sebezhetőség

A támadás lényege azon alapul, hogy a szerver felé küldött kérés nincs azonosítva. Tehát egy rendszerbe bejelentkezett felhasználó és egy hamis kérést használó támadó nincs megkülönböztetve. A szerver kérés szempontjából mindketten ugyanazt a kérést kérik le. A visszaadott válaszban a session információkat felhasználva a támadó a felhasználó nevében beléphet és bármilyen műveletet végrehajthat, amit az adott felhasználói is megtehet. A dolog érdekessége, hogy hiába van jól megírva a rendszer felhasználó és session kezelése,  a rendszer kihasználható. A támadás kivédésére egy megoldás lehet, ha azonosítjuk a felhasználó kérését. Ezt általában az űrlapba épített véletlen generált ellenőrző kóddal tudjuk megtenni, amit a szerver oldalon a munkamenetben is elhelyezünk. Ezzel meggyőződhetünk róla, hogy a felhasználó által indított munkamenet rendelkezik ezzel a kóddal. Így bárki nem küldhet bármilyen kódot. A biztonságot még tovább növeli, ha a session lejáratát a lehető legrövidebbre vesszük, illetve automatikus kijelentkeztetést építünk be az alkalmazásunkba.

hirdetes

Ha tetszett ez a cikk, oszd meg ismerőseiddel, kattints ide:

MEGOSZTÁS MEGOSZTÁS MEGOSZTÁS

Ezek is érdekelhetnek

hirdetes

Szótár

vevõi megelégedettség

a vevõ észlelése arról, hogy milyen mértékben teljesültek a vevõ követelményei ... Tovább

hozzárendelhető költség

Az a költség, amelynek felmerülése elkerülhető lehetne, ha a termék, funkció, vagy folyamat... Tovább

Tovább a lexikonra