พึ่งเคยใช้งานครั้งแรกโปรดอ่านที่นี่! howtouse!
x
  • Register
หางานด้าน IT อยู่เหรอ?

Cross-Site Request Forgery (CSRF) คืออะไรมีหลักการอย่างไร

+3 votes
ถามเมื่อ Apr 17, 2012 in Hacking โดย Eggvalue (1,179 คะแนน)
   

2 Answers

+2 votes

CSRF เป็น เทคนิคการโจมตี เว็บไซต์

โดย Hacker จะใช้วิธีการส่ง HTTP Request ต่างๆ รวมทั้ง SESSION หรือ Cookie 

ที่ถูกปรับแต่งค่ามาเรียบร้อย  ไปยัง Web Server 

 

โดยการส่ง Request นี้อาจจะมาจากที่อื่น ไม่ได้มาจากตัวของเว็บที่โดนโจมตีเอง (Hacker เขียนเอง)

โดยจะแฝงมากับ HTML Tag ในลักษณะต่างๆ

 

ส่วนใหญ่ก็เพื่อต้องการสวมสิทธิอะไรบางอย่าง ในตัวของผู้ใช้งานจริงๆ

โดยที่ Hacker แอบดัก ขโมย SESSION หรือ Cookie จะผู้ใช้งานตัวจริง

 

โปรแกรมที่ไม่ได้มีการป้องกันจะไม่รู้เลยว่าโดนโจมตี โดยโปรแกรมจะรู้ว่า Request นี้คือ ผู้ใช้งานตัวจริง

เพราะเป็น Request ที่ถูกต้อง มีค่าต่างๆ ที่ถูกต้อง โปรแกรมก็ Response กลับไปตามปกติ

 

เป้าหมายส่วนใหญ่พวกธุรกรรมทางการเงินออนไลน์ โดยที่จะโดนสวมสิทธิ เพื่อทำการบางอย่างทางการเงิน

พวกเว็บไซต์ซื้อสินค้าออนไลน์ หรืออาจจะเป็น การใช้งาน Internet Banking ของธนาคารต่างๆ

 

ตอบเมื่อ Apr 17, 2012 โดย phanithanj (1,139 คะแนน)
+2 votes
คร่าวๆ

เป็นการฝังสคิปพวก request ในบนตัวเว็บเพจ หรือบนตัว url เอง ( เช่นกากแอบฝังการแก้ไขข้อมูลต่างๆ ไว้ใน url ผ่านการเรียก url หรือการคลิก )

ในบางครั้ว CSRF มักจะเอาไว้แก้ไขค่าต่างๆ บนเครื่อง Server หรือการเข้าถึงข้อมูลต่างๆ

 

การป้องกันก็

1. ใช้ POT Method แทนการใช้ GET Method ในการสั่งการเพื่อทำสิ่งต่างๆ

2.ตรวจสอบ Reference ของ user ว่าสั่งจากหน้าเพจไหน

3.การใช้ hidden fild ในการทำงานสำคัญต่างๆ

4. สำหรับ user ก็ให้ logout และเคลียร์ cookie หรืออาจรวมถึงประวัติการเข้สเว็บต่างๆ

5.ตามเว็บธนาคารส่วนมาก ( แทบทั้งหมดละมั้ง ) จะใช้ระบบ OTP ( One Time Password ) หรือพวก SMS แจ้งข้อมูลต่างๆ
ตอบเมื่อ Apr 17, 2012 โดย $??? (240 คะแนน)
ใช้พวก token ใช่ไหมครับ
ใช้ทำส่วนไหนครับ ??

Related questions

0 votes
2 คำตอบ
397 views ถามเมื่อ Sep 22, 2012 in C# โดย mix5003 (715 คะแนน)
0 votes
1 คำตอบ
873 views ถามเมื่อ Nov 2, 2014 in Hacking โดย autoai0001 (103 คะแนน)
–1 vote
1 คำตอบ
622 views ถามเมื่อ Sep 18, 2012 in Hacking โดย ddrukyou (101 คะแนน)
+2 votes
3 คำตอบ
1,522 views ถามเมื่อ May 11, 2012 in Hacking โดย Fn Lion (180 คะแนน)
...