خوش آمدید
امیدوارم با ذهن سرشار از علم کامپیوتر از این وبلاگ خارج بشین!
خوش آمدید
امیدوارم با ذهن سرشار از علم کامپیوتر از این وبلاگ خارج بشین!باگ csrf
برای مشاهده به ادامه مطلب مراجعه کنید
آشنایی با حملات Cross Site Request Forgery
حملات CSRF مخفف عبارت Cross Site Request Forgery میباشد که در اطلاح و عمل به معنای عبور از درخواست های سایت و ارسال درخواست های جعلی به آن است.
فرض کنید در پنل مدیریت سایت شما صفحه ای مربوط به تغییر ایمیل و کلمه عبور وجود دارد شما با وارد کردن رمز عبور و تکرار آن میوانید به سرعت رمز عبور خود را تغییر دهید اما در پشت پرده درخواست شما به سرور ارسال میشود و سرور با استفاده از کوکی های ارسالی توسط مرورگر و بررسی صحت آن ، درخواست شما را میپذیرد و رمز عبورتان تغییر میابد
اگر این درخواست از سوی شخص دیگری ارسال گردد از آنجایی که کوکی های ارسالی بی اعتبار است درخواست مربوطه توسط سرور رد میشود. حال اگر این درخواست بدون آنکه متوجه شوید از سوی شما ارسال گردد چه اتفاقی رخ خواهد داد؟
همچنین میتوان به این آسیب پذیری به عنوان یک آسیب پذیری قدیمی و همین طور پر استفاده اشاره کرد که
اولین نشانه های آن در سال 2000 دیده شده و در سال 2008 اطلاعات بسیاری از کاربران سایت معروف eBayبا
استفاده از همین روش مورد سرقت قرار گرفت و در اوایل همان سال مشتریان یکی از بانک های مکزیک قربانیان
این حمله شدند . در ربطه با ین موضوع کتابی پیدا کرم که فکر نکنم بد باشه:
http://fullsecurity.org/acc/wp-content/uploads/CSRF.pdfhttp://fullsecurity.org/acc/wp-content/uploads/CSRF.pdf