บ้าน พัฒนาการ การปลอมแปลงคำขอข้ามไซต์ (csrf) คืออะไร? - คำจำกัดความจาก techopedia

การปลอมแปลงคำขอข้ามไซต์ (csrf) คืออะไร? - คำจำกัดความจาก techopedia

สารบัญ:

Anonim

คำจำกัดความ - การปลอมแปลงคำขอข้ามไซต์ (CSRF) หมายถึงอะไร

การปลอมแปลงคำขอข้ามไซต์ (CSRF) เป็นประเภทของการใช้ประโยชน์จากเว็บไซต์โดยการออกคำสั่งที่ไม่ได้รับอนุญาตจากผู้ใช้เว็บไซต์ที่เชื่อถือได้ CSRF ใช้ประโยชน์จากความน่าเชื่อถือของเว็บไซต์สำหรับเบราว์เซอร์ของผู้ใช้เฉพาะเมื่อเทียบกับการเขียนสคริปต์ข้ามไซต์ซึ่งใช้ประโยชน์จากความน่าเชื่อถือของผู้ใช้สำหรับเว็บไซต์


คำนี้เรียกอีกอย่างว่าการขี่เซสชั่นหรือการโจมตีด้วยคลิกเดียว

Techopedia อธิบายการปลอมแปลงคำขอข้ามไซต์ (CSRF)

CSRF มักจะใช้คำสั่ง "GET" ของเบราว์เซอร์เป็นจุดที่ใช้ประโยชน์ CSR forgers ใช้แท็ก HTML เช่น "IMG" เพื่อแทรกคำสั่งลงในเว็บไซต์เฉพาะ ผู้ใช้เฉพาะของเว็บไซต์นั้นจะถูกใช้เป็นโฮสต์และผู้สมรู้ร่วมรู้ บ่อยครั้งที่เว็บไซต์ไม่ทราบว่าอยู่ภายใต้การโจมตีเนื่องจากผู้ใช้ที่ถูกกฎหมายกำลังส่งคำสั่ง ผู้โจมตีอาจส่งคำร้องขอโอนเงินไปยังบัญชีอื่นถอนเงินเพิ่มหรือในกรณีของ PayPal และเว็บไซต์ที่คล้ายกันให้ส่งเงินไปยังบัญชีอื่น


การโจมตี CSRF นั้นยากที่จะดำเนินการเพราะมีหลายสิ่งที่ต้องเกิดขึ้นเพื่อที่จะประสบความสำเร็จ:

  • ผู้โจมตีจะต้องกำหนดเป้าหมายเว็บไซต์ที่ไม่ได้ตรวจสอบส่วนหัวของผู้อ้างอิง (ซึ่งเป็นเรื่องปกติ) หรือผู้ใช้ / เหยื่อด้วยเบราว์เซอร์หรือปลั๊กอินบักที่ช่วยให้ผู้อ้างอิงปลอมแปลง (ซึ่งหายาก)
  • ผู้โจมตีต้องค้นหาการส่งแบบฟอร์มที่เว็บไซต์เป้าหมายซึ่งจะต้องมีความสามารถบางอย่างเช่นการเปลี่ยนข้อมูลรับรองการเข้าสู่ระบบที่อยู่อีเมลของเหยื่อหรือทำการโอนเงิน
  • ผู้โจมตีต้องกำหนดค่าที่ถูกต้องสำหรับอินพุตทั้งหมดของฟอร์มหรือ URL หากจำเป็นต้องมีค่าลับหรือรหัสที่ผู้โจมตีไม่สามารถคาดเดาได้อย่างถูกต้องการโจมตีจะล้มเหลว
  • ผู้โจมตีจะต้องล่อลวงผู้ใช้ / เหยื่อไปยังเว็บเพจที่มีรหัสที่เป็นอันตรายในขณะที่เหยื่อถูกล็อกอินเข้าสู่เว็บไซต์เป้าหมาย

ตัวอย่างเช่นสมมติว่าบุคคลกกำลังเรียกดูบัญชีธนาคารของเขาในขณะที่อยู่ในห้องสนทนาด้วย มีผู้โจมตี (บุคคล B) ในห้องแชทที่รู้ว่าบุคคล A นั้นเข้าสู่ bank.com ด้วยเช่นกัน Person B lures Person A เพื่อคลิกลิงค์สำหรับภาพตลก แท็ก "IMG" มีค่าสำหรับการป้อนแบบฟอร์มของ bank.com ซึ่งจะโอนเงินจำนวนหนึ่งจากบัญชีของบุคคล A ไปยังบัญชี B ของบุคคล หาก bank.com ไม่มีการรับรองความถูกต้องสำรองสำหรับบุคคล A ก่อนโอนเงินการโจมตีจะสำเร็จ

การปลอมแปลงคำขอข้ามไซต์ (csrf) คืออะไร? - คำจำกัดความจาก techopedia

ความแตกต่างระหว่างซอฟต์แวร์ erp และซอฟต์แวร์ CRM คืออะไร?

ความแตกต่างระหว่างซอฟต์แวร์ erp และซอฟต์แวร์ CRM คืออะไร?

ซอฟต์แวร์การวางแผนทรัพยากรองค์กร (ERP) และซอฟต์แวร์การจัดการลูกค้าสัมพันธ์ (CRM) มักถูกกล่าวถึงในวรรณคดีและโฆษณาเกี่ยวกับการคำนวณระดับองค์กร แม้ว่าโซลูชันซอฟต์แวร์ทั้งสองนี้จะทำงาน ...

ความแตกต่างระหว่าง seo และ sem คืออะไร?

ความแตกต่างระหว่าง seo และ sem คืออะไร?

การเพิ่มประสิทธิภาพกลไกค้นหา (SEO) และการตลาดเสิร์ชเอ็นจิ้น (SEM) เป็นสองวิธีที่แตกต่างกันมากในการปรับปรุงการเข้าชมเว็บไซต์ น่าเสียดายที่มันง่ายที่จะทำให้กลยุทธ์สับสน เราจะดูสิ่งที่ ...

ความแตกต่างระหว่างวิทยาการคอมพิวเตอร์และเทคโนโลยีสารสนเทศและการสื่อสาร (ict) คืออะไร?

ความแตกต่างระหว่างวิทยาการคอมพิวเตอร์และเทคโนโลยีสารสนเทศและการสื่อสาร (ict) คืออะไร?

คนมักจะสับสนวิทยาการคอมพิวเตอร์และเทคโนโลยีสารสนเทศและการสื่อสาร (ICT) ในขณะที่คล้ายกันพวกเขาเป็นพื้นที่ที่แตกต่างกันของการศึกษา

ตัวเลือกของบรรณาธิการ

ตัวเลือกของบรรณาธิการ

ตัวเลือกของบรรณาธิการ

ตัวเลือกของบรรณาธิการ

ตัวเลือกของบรรณาธิการ

ตัวเลือกของบรรณาธิการ

หมวดหมู่ยอดนิยม

© Copyright th.theastrologypage.com, 2025 กรกฎาคม | เกี่ยวกับไซต์ | ผู้ติดต่อ | นโยบายความเป็นส่วนตัว.