آیا با تعریف حمله CSRF آشنا هستید ؟ آیا می دانید جعل درخواست چیست ؟ و چطور رخ میدهد. csrf attack چیست ؟ آیا با راه های جلوگیری از csrf آشنا هستید ؟ واژه CSRF که سی سِرف هم تلفظ میشود کوتاهشده عبارت Cross-Site Request Forgery است . اما این عبارت یعنی چه؟
CSRF چیست ؟
CSRF مخفف cross site Request forgery attack (حمله ای از نوع درخواست میان سایتی) می باشد. فریب کاربر یک سایت به گونه ای که درخواست ناخواسته ای را به سرور آن سایت بفرستد.
این فیلم در یک نگاه
در این فیلم در مدت 30 دقیقه به بررسی مفهوم CSRF میپردازیم. نخست تعریف CSRF و دو مثال از این حمله! اگر در یک وبسایت اشتراک فیلم مثل نتفلیکس اتفاق بیفتد یا اگر در یک سایت بانک اتفاق بیفتد را بررسی میکنیم.
سپس به سراغ بررسی منابع انگلیسی زبان میرویم. به عنوان یک توسعه دهنده وب باید بتوانید منابع روز را بخوانید.
نخست تعریف CSRF را در ویکی پدیا بررسی میکنیم. جالب است که وبسایتهای معروفی مانند نتفلیکس و یوتیوب واقعا در سال های 2006 و 2008 مورد این حمله قرار گرفته و آسیب دیدهاند.
سپس یک مقاله دیگر در مورد مفهوم CSRF را سریع بررسی می کنیم و چیزهای تازهای یاد میگیریم.
در نهایت به بهترین روش های جلوگیری از CSRF که از نوع Anti-CSRF Token هستند، میپردازیم. دو روش اصلی شامل Synchronizer Token Pattern و Double-Submit Cookie Pattern برای مبارزه با این حمله و نفوذ را بررسی میکنیم.
روش الگوی توکن همگام یا Synchronizer Token Pattern را با هم خواهیم شناخت و چرخه آن را در یک نمودار بررسی خواهیم کرد.
روش الگوی تقدیم دوگانهی کوکی همگام یا Double-Submit Cookie Pattern را با هم خواهیم شناخت و چرخه آن را در یک نمودار بررسی خواهیم کرد.
کلید واژگان
حملات csrf – آموزش حمله csrf – جلوگیری از حمله csrf – csrf چیست – csrf attack – حمله csrf چیست – csrf چیست – تعریف حمله csrf – آموزش حمله csrf – اموزش حمله csrf – آموزش csrf – جلوگیری از CSRF
محمد امین جمشیدی –
با تشکر از تیم همرویش
روابط عمومی هم رویش –
سپاس از لطف شما همراه ارجمند.
امیر –
ببینید اگر من یک فایل پی اچ پی برای آپلود تو هاست بنویسم و داخل برنامه اندروید استفاده کنم از لینک آن، مهاجم میتواند برنامه را دیکامپایل و به لینک فایل پی اچ پی دسترسی پیدا کند و در مرورگر درخواست ارسال و اطلاعات کاربران حذف و یا اطلاعات جدیدی اضافه کند. حتی میتواند با یک اسکریپت بینهایت ریکوئست به سرور بفرستد و موجب تخریب آن شود. حتی این کار ممکن است برای دیتابیس آنلاین نیز اتفاق بیفتد.خواهشا برای جلوگیری از این کار راه حل ارائه دهید در همرویش و در کانال تلگرامی تان نیز اعلام کنید