Fałszerstwo żądań między witrynami (XSRF lub CSRF) to metoda ataku na witrynę internetową, w której intruz podszywa się pod prawdziwego i zaufanego użytkownika.
Co to jest fałszowanie żądań między witrynami?
Atak XSRF może zostać wykorzystany do modyfikacji ustawień zapory sieciowej , opublikowania nieautoryzowanych danych na forum lub przeprowadzenia oszukańczych transakcji finansowych. Zaatakowany użytkownik może nigdy nie dowiedzieć się, że stał się ofiarą XSRF. Nawet jeśli użytkownicy wykryją ten atak, stanie się to dopiero po wyrządzeniu przez hakera pewnych szkód i nie będzie żadnych środków, aby rozwiązać ten problem.
W jaki sposób przeprowadzany jest atak polegający na fałszowaniu żądań między witrynami?
Atak XSRF można przeprowadzić poprzez kradzież istniejącej tożsamości użytkownika, a następnie włamanie się do serwera WWW przy użyciu wcześniej skradzionej tożsamości. Osoba atakująca może również oszukać legalnych użytkowników, aby przypadkowo wysłali żądania protokołu HTTP (Hypertext Transfer Protocol) i zwrócili intruzowi wrażliwe dane użytkownika.
Czy fałszowanie żądań między witrynami to to samo, co wykonywanie skryptów między witrynami lub śledzenie między witrynami?
Atak XSRF jest funkcjonalnie przeciwieństwem ataku Cross-site scripting (XSS) , podczas którego haker umieszcza złośliwy kod w łączu w witrynie internetowej, wyglądając na pochodzący z zaufanego źródła. Kiedy użytkownik końcowy kliknie łącze, osadzony program zostanie wysłany jako część żądania i może zostać uruchomiony na komputerze użytkownika.
Atak XSRF różni się także od Cross-site tracing (XST), wyrafinowanej formy XSS, która umożliwia intruzom uzyskanie plików cookie i innych danych uwierzytelniających za pomocą prostego skryptu po stronie klienta. W XSS i XST głównym celem ataku jest użytkownik końcowy. W XSRF głównym celem jest serwer WWW, chociaż szkody wynikające z tego ataku ponosi użytkownik końcowy.
Poziom zagrożenia związany z fałszowaniem żądań między witrynami
Ataki XSRF są trudniejsze do obrony niż ataki XSS lub XST. Dzieje się tak częściowo dlatego, że ataki XSRF są rzadsze i nie poświęca się im tyle uwagi. Z drugiej strony w praktyce określenie, czy żądanie HTTP od konkretnego użytkownika jest rzeczywiście przez niego wysyłane, może być trudne. Chociaż można zastosować rygorystyczne środki ostrożności w celu sprawdzenia tożsamości użytkowników próbujących uzyskać dostęp do witryny internetowej, użytkownicy nie są zbyt zainteresowani częstymi żądaniami uwierzytelnienia. Korzystanie z tokenów kryptograficznych może zapewnić częste uwierzytelnianie w tle, dzięki czemu użytkownicy nie będą stale niepokojeni żądaniami uwierzytelnienia.
Czy widzisz powiadomienie o aktywacji systemu Windows 10 w prawym rogu ekranu? W tym artykule dowiesz się, jak usunąć powiadomienie o żądaniu dotyczącym praw autorskich w systemie Windows 10.
Niedawno firma Microsoft wydała najnowszą aktualizację zbiorczą dla użytkowników komputerów PC z systemem Windows 10 o nazwie Build 14393.222. Ta aktualizacja wydana dla systemu Windows 10 naprawia głównie błędy na podstawie opinii użytkowników i poprawia wydajność systemu operacyjnego.
Czy masz komputery w sieci lokalnej, które wymagają dostępu zewnętrznego? Dobrym rozwiązaniem może być użycie hosta bastionowego jako strażnika sieci.
Czasami może być konieczne jednoczesne usunięcie wszystkich starych dzienników zdarzeń. W tym przewodniku Quantrimang.com pokaże Ci 3 sposoby szybkiego usunięcia wszystkich dzienników zdarzeń w Podglądzie zdarzeń systemu Windows 10.
Jeśli wolisz używać starej, klasycznej klawiatury, takiej jak IBM Model M, która nie zawiera fizycznego klawisza Windows, istnieje prosty sposób, aby dodać więcej, pożyczając klawisz, którego nie używasz często.
WindowTop to narzędzie, które ma możliwość przyciemnienia wszystkich okien aplikacji i programów działających na komputerach z systemem Windows 10. Możesz także użyć interfejsu z ciemnym tłem w systemie Windows.
W wielu poprzednich artykułach wspominaliśmy, że zachowanie anonimowości w Internecie jest niezwykle ważne. Co roku dochodzi do wycieku prywatnych informacji, co sprawia, że bezpieczeństwo w Internecie staje się coraz bardziej konieczne. Z tego też powodu powinniśmy używać wirtualnych adresów IP. Poniżej dowiemy się o metodach tworzenia fałszywych adresów IP!
Pasek języka w systemie Windows 8 to miniaturowy pasek narzędzi języka, zaprojektowany tak, aby automatycznie wyświetlał się na ekranie komputera stacjonarnego. Jednak wiele osób chce ukryć ten pasek języka na pasku zadań.
Maksymalizacja szybkości Internetu jest niezbędna do optymalizacji połączenia sieciowego. Możesz cieszyć się optymalną rozrywką i pracą, korzystając z komputerów, telewizorów z dostępem do Internetu, konsol do gier itp.
Łączność bezprzewodowa jest dziś koniecznością i dlatego bezpieczeństwo sieci bezprzewodowej jest niezbędne do zapewnienia bezpieczeństwa w sieci wewnętrznej.
