Co je padělání žádosti o více stránek (csrf)? - definice z techopedie

2025

Obsah:

Definice - Co znamená padělání požadavků na více stránek (CSRF)?
Techopedia vysvětluje padělání požadavků na více stránek (CSRF)

Definice - Co znamená padělání požadavků na více stránek (CSRF)?

Padělání žádostí napříč stránkami (CSRF) je druh zneužití webových stránek prováděný vydáním neautorizovaných příkazů od důvěryhodného uživatele webových stránek. CSRF využívá důvěryhodnost webu pro prohlížeč konkrétního uživatele, na rozdíl od skriptování napříč weby, které využívá důvěru uživatele pro web.

Tento termín se také nazývá jízda na koni nebo útok jedním kliknutím.

Techopedia vysvětluje padělání požadavků na více stránek (CSRF)

CSRF obvykle používá jako bod exploze příkaz „GET“ v prohlížeči. Kováři CSR používají k vkládání příkazů na konkrétní web značky HTML, například „IMG“. Konkrétní uživatel této webové stránky je poté použit jako hostitel a nevědomý spolupachatel. Web často neví, že je pod útokem, protože legitimní uživatel odesílá příkazy. Útočník by mohl vydat žádost o převod prostředků na jiný účet, výběr více prostředků nebo, v případě PayPal a podobných stránek, zaslání peněz na jiný účet.

Útok CSRF je obtížné provést, protože k jeho úspěchu musí dojít několik věcí:

Útočník musí cílit buď na web, který nekontroluje hlavičku referreru (která je běžná), nebo uživatele / oběť pomocí prohlížeče nebo chyby plug-in, která umožňuje spoofing referrer (což je vzácné).
Útočník musí na cílovém webu vyhledat podání formuláře, které musí být schopno něco jako změna přihlašovacích údajů k e-mailové adrese oběti nebo provádění převodů peněz.
Útočník musí určit správné hodnoty pro všechny vstupy formuláře nebo URL. Pokud se od některé z nich požaduje, aby byly tajnými hodnotami nebo ID, které útočník nedokáže přesně odhadnout, útok selže.
Útočník musí nalákat uživatele / oběť na webovou stránku se škodlivým kódem, zatímco je oběť přihlášena k cílovému webu.

Předpokládejme například, že osoba A prochází svůj bankovní účet, zatímco je také v chatovací místnosti. V chatovací místnosti je útočník (osoba B), který zjistí, že osoba A je také přihlášena na bank.com. Osoba B láká osobu A, aby klikla na odkaz pro legrační obrázek. Značka „IMG“ obsahuje hodnoty pro vstupy formuláře bank.com, které efektivně převedou určitou částku z účtu osoby A na účet osoby B. Pokud bank.com nemá sekundární autentizaci pro osobu A před převodem prostředků, bude útok úspěšný.

Co je padělání žádosti o více stránek (csrf)? - definice z techopedie

Obsah:

Definice - Co znamená padělání požadavků na více stránek (CSRF)?

Techopedia vysvětluje padělání požadavků na více stránek (CSRF)

Registrátoři doménových jmen: základní ozubené kolečko v oboru webových stránek

5 Běžné otázky týkající se dostupnosti webových stránek

Co se běžně podílí na inženýrství spolehlivosti stránek?

Výběr redakce

Co je karta síťového rozhraní (nic)? - definice z techopedie

Co je to uzel? - definice z techopedie

Co je to optická jednotka? - definice z techopedie

Co je to optická média? - definice z techopedie

Výběr redakce

Co je to modrý rámeček? - definice z techopedie

Co je modrý drát? - definice z techopedie

Co je mohutnost v databázích? - definice z techopedie

Co je prediktivní analytika? - definice z techopedie

Výběr redakce

Co je to tlustý klient? - definice z techopedie

Co je digitální zobrazování a komunikace v medicíně (dicom)? - definice z techopedie

Co je digitální vysílání videa (dvb)? - definice z techopedie

Co je to ginella? - definice z techopedie

Výběr redakce

Co je padělání žádosti o více stránek (csrf)? - definice z techopedie

Co je to tarpitting? - definice z techopedie

Co je to kabel kabelů? - definice z techopedie

Co je nevyžádaná komerční e-mailová adresa (uce)? - definice z techopedie

Výběr redakce

Co je to bioinformatika? - definice z techopedie

Co je logická logika? - definice z techopedie

Co je to x.25? - definice z techopedie

Co je x 400? - definice z techopedie

Populární kategorie