Cross-Site Request Forgery(CSRF)

伊斯兰法院联盟发动攻击,迫使一个经认证的用户(受害者)发出伪造的吉卜赛人的请求,包括受害者会议堂表,以回应一个脆弱的网络应用程序,使攻击者能够迫使受害者浏览器提出要求,使弱势者认为是受害者的合法要求。

让我们在简单图表的帮助下理解这一缺陷的威胁代理人、攻击者、安全弱点、技术影响和商业影响。

Example

这里是欧洲公路网的一个典型例子。

让我们说,脆弱的申请发出了国家更改要求,将其作为一个不作任何加密的便捷文本。

http://bankx.com/app?action=transferFund&amount=3500&destinationAccount=4673243243

如今,黑客们提出把钱从受害者账户转至攻击者账户的要求,把请求放在被攻击者控制的各个地点保存的形象中——

<img src = "http://bankx.com/app?action=transferFunds&amount=14000&destinationAccount=attackersAcct#" 
   width = "0" height = "0" />

Hands ON

让我们通过将 Java印成像来进行CSRF伪造。 问题简介如下。

现在,我们需要改变向1x1图像的转移,使受害者能够点击。

Step 3——在发出电文后,电文如下所示。

现在,如果受害人点击了下述URL,则进行移交,可以发现这套设备使用bur套拦截用户的行动。 我们能够看到转让,把转让放在“Get”信息中,如下所示:

现在,在点击复时,便显示完成点。

Preventive Mechanisms

可以通过在一个隐藏的领域中创建独一无二的标志来避免采用聚苯胺,在吉大港山区的请求中,而不是在较易接触的URL中发出。

要求用户重新认证或证明他们是用户,以保护通用报告格式。 例如,防止酷刑协会。