Vervalsing van verzoeken op meerdere sites

CSRF ( Cross - site request forgery ) is een type kwaadaardige website - exploit waarbij ongeautoriseerde opdrachten worden verzonden door een gebruiker die de website vertrouwt. ^[¹^] Deze kwetsbaarheid is ook bekend onder andere namen zoals XSRF , vijandige link, aanval met één klik, sessiekaping en geautomatiseerde aanval.

Inleiding

Een CSRF-aanval dwingt de gevalideerde webbrowser van een slachtoffer om een verzoek naar een kwetsbare webtoepassing te sturen , die vervolgens de gekozen actie via het slachtoffer uitvoert. In tegenstelling tot XSS- aanvallen , die misbruik maken van het vertrouwen dat een gebruiker in een bepaalde site heeft, maakt cross-site request forgery gebruik van het vertrouwen dat een site in een bepaalde gebruiker heeft.

Stadium

CSRF-kwetsbaarheden zijn bekend sinds eind jaren negentig en werden in 2001 door Peter Watkins CSRF of XSRF genoemd. ^{[ 1 ]} CSRF kan niet worden getraceerd omdat het wordt uitgevoerd door het IP-adres van een legitieme gebruiker. Dit kan tot verwarring leiden bij forensisch onderzoek, waarbij de tussenkomst van computerbeveiligingsexperts nodig zal zijn om bepaalde gevallen van CSRF-aanvallen vast te stellen. De exploits van dit type aanval zijn nauwelijks publiekelijk bekend; anno 2007 zijn er enkele goed gedocumenteerde voorbeelden. ^{[ citaat nodig ]}

Voorbeeld

Een heel klassiek voorbeeld is wanneer een website, laten we het "example1.com" noemen, een gebruikersbeheersysteem heeft. Op een dergelijk systeem, wanneer een beheerder inlogt en de volgende REQUEST GET uitvoert, verwijdert het de gebruiker uit ID: "63": http://example1.com/usuarios/eliminar/63

Een manier om de CSRF-kwetsbaarheid uit te voeren zou zijn als een andere website, laten we het "example2.com" noemen, de volgende HTML -code aan zijn website zou toevoegen : <img src="http://example1.com/usuarios/eliminar/63">

Wanneer de admin-gebruiker (ingelogd op example1.com) door deze aanvallende site bladert, zal zijn webbrowser proberen naar een afbeelding op de URL te zoeken en het uitvoeren van de REQUEST GET naar die URL zal gebruiker 63 doden.

Zie ook

XSS

Referenties

^ ^a ^B Burns, Jesse (2007). "Cross Site Request Forgery Een inleiding tot een veelvoorkomende zwakte van webapplicaties" (pdf) . isec Partners (in het Engels) . p. 2. Gearchiveerd van het origineel op 21-01-2013 . Ontvangen 1 mei 2020 . “Cross-site request forgery (CSRF; ook bekend als XSRF of vijandige koppeling) is een aanvalsklasse die webgebaseerde applicaties aantast met een voorspelbare structuur voor aanroepen. Deze aanvalsklasse is op de een of andere manier bekend en gebruikt sinds vóór de millenniumwisseling. De CSRF-naam werd aan hen gegeven door Peter Watkins in een bericht in juni 2001 op de Bug traq-mailinglijst. »

Externe links

Veelgestelde vragen CSRF

[Burns,_2007-1] B Burns, Jesse (2007). "Cross Site Request Forgery Een inleiding tot een veelvoorkomende zwakte van webapplicaties" (pdf) . isec Partners (in het Engels) . p. 2. Gearchiveerd van het origineel op 21-01-2013 . Ontvangen 1 mei 2020 . “Cross-site request forgery (CSRF; ook bekend als XSRF of vijandige koppeling) is een aanvalsklasse die webgebaseerde applicaties aantast met een voorspelbare structuur voor aanroepen. Deze aanvalsklasse is op de een of andere manier bekend en gebruikt sinds vóór de millenniumwisseling. De CSRF-naam werd aan hen gegeven door Peter Watkins in een bericht in juni 2001 op de Bug traq-mailinglijst. »

[