notification icon
Ne maradj le semmiről! Iratkozz fel értesítéseinkre!

A CSRF (Cross-Site Request Forgeries) sebezhetőség

hirdetes

A CSRF (Cross-Site Request Forgeries) sebezhetőség

Döbrentei István
Pinterest logo

KÖVESS MINKET

PINTERESTEN

A nevéből következtetve itt egy webalkalmazásoknál használt „kereszt oldali kérés” hamisításról van szó. Lehet, hogy sokaknak ez nem mond semmit, de érdemes tisztában lenni vele, mert segítségével könnyen áldozattá válhatunk.

A CSRF (Cross-Site Request Forgeries) sebezhetőség

A CSRF (Cross-Site Request Forgery) sebezhetőség

A támadás lényege azon alapul, hogy a szerver felé küldött kérés nincs azonosítva. Tehát egy rendszerbe bejelentkezett felhasználó és egy hamis kérést használó támadó nincs megkülönböztetve. A szerver kérés szempontjából mindketten ugyanazt a kérést kérik le. A visszaadott válaszban a session információkat felhasználva a támadó a felhasználó nevében beléphet és bármilyen műveletet végrehajthat, amit az adott felhasználói is megtehet. A dolog érdekessége, hogy hiába van jól megírva a rendszer felhasználó és session kezelése,  a rendszer kihasználható. A támadás kivédésére egy megoldás lehet, ha azonosítjuk a felhasználó kérését. Ezt általában az űrlapba épített véletlen generált ellenőrző kóddal tudjuk megtenni, amit a szerver oldalon a munkamenetben is elhelyezünk. Ezzel meggyőződhetünk róla, hogy a felhasználó által indított munkamenet rendelkezik ezzel a kóddal. Így bárki nem küldhet bármilyen kódot. A biztonságot még tovább növeli, ha a session lejáratát a lehető legrövidebbre vesszük, illetve automatikus kijelentkeztetést építünk be az alkalmazásunkba.

hirdetes

Ha tetszett ez a cikk, oszd meg ismerőseiddel, kattints ide:

MEGOSZTÁS MEGOSZTÁS MEGOSZTÁS

Ezek is érdekelhetnek

hirdetes

Szótár

metrológiai jellemzõ

olyan megkülönböztetõ tulajdonság, amely befolyásolhatja a mérés eredményeit ... Tovább

átvizsgálás

tevékenység, amely a vizsgálat tárgyára vonatkozóan az alkalmasság, a célnak való... Tovább

Tovább a lexikonra