Pemalsuan Permintaan Silang Tapak (CSRF) ialah salah satu cara tertua untuk mengeksploitasi kelemahan tapak web. Ia menyasarkan suis web sebelah pelayan yang biasanya memerlukan pengesahan seperti log masuk. Semasa serangan CSRF, penyerang bertujuan untuk memaksa mangsanya membuat permintaan web yang tidak dibenarkan dan berniat jahat bagi pihak mereka.
Amalan keselamatan laman web yang lemah atau lemah dan kecuaian di laluan pengguna adalah antara punca biasa serangan CSRF yang berjaya.
Mari lihat apa itu serangan CSRF dan kemungkinan cara anda boleh menghalang diri anda daripadanya sebagai pembangun atau sebagai pengguna.
CSRF ialah serangan yang digunakan untuk melaksanakan permintaan yang tidak dibenarkan semasa tindakan web yang memerlukan log masuk atau pengesahan pengguna. Serangan CSRF boleh mengambil kesempatan daripada ID sesi, kuki, serta kelemahan berasaskan pelayan lain untuk mencuri bukti kelayakan pengguna.
Contohnya, mendayakan prosedur anti-CSRF menghalang interaksi hasad merentas domain.
Sebaik sahaja halangan itu dipecahkan, penyerang boleh dengan cepat memanfaatkan ID sesi pengguna melalui kuki yang dibuat oleh penyemak imbas pengguna dan membenamkan teg skrip ke dalam tapak web yang terdedah.
Dengan memanipulasi ID, penyerang juga boleh mengubah hala pelawat ke halaman web lain atau mengeksploitasi kaedah kejuruteraan sosial seperti e-mel untuk menghantar pautan, menggalakkan mangsa memuat turun perisian berniat jahat.
Sebaik sahaja mangsa melakukan tindakan sedemikian, ia menghantar permintaan HTTP ke halaman perkhidmatan pengguna dan membenarkan tindakan permintaan memihak kepada penyerang. Itu boleh memusnahkan pengguna yang tidak curiga.
Serangan CSRF yang berjaya boleh menyebabkan pengguna yang diberi kuasa kehilangan kelayakan akses mereka kepada penyerang, terutamanya semasa tindakan berasaskan pelayan seperti permintaan pertukaran kata laluan atau nama pengguna. Dalam senario yang lebih teruk, penyerang mengambil alih keseluruhan sesi dan bertindak bagi pihak pengguna.
CSRF telah digunakan untuk merampas transaksi dana melalui web serta menukar nama pengguna dan kata laluan, yang menyebabkan pengguna kehilangan akses kepada perkhidmatan yang terjejas.
Sasaran utama untuk serangan CSRF ialah tindakan web yang melibatkan pengesahan pengguna. Untuk berjaya, ia memerlukan tindakan yang tidak disengajakan daripada mangsa.
Semasa serangan CSRF, tindakan GET, DELETE dan PUT, serta permintaan POST yang terdedah adalah sasaran utama penyerang.
Mari kita lihat maksud istilah tersebut:
Dalam amalan, penyerang menggunakan rampasan sesi untuk menyandarkan serangan CSRF. Apabila menggunakan gabungan ini, penyerang boleh menggunakan rampasan untuk menukar alamat IP mangsa.
Perubahan dalam alamat IP kemudian log mangsa ke dalam tapak web baharu di mana penyerang telah memasukkan pautan menipu yang menyerahkan borang yang direplikasi atau permintaan pelayan yang diubah suai yang mereka buat melalui CSRF.
Pengguna yang tidak curiga kemudian menganggap ubah hala itu datang daripada pembekal perkhidmatan dan mengklik pautan pada halaman web penyerang. Setelah mereka melakukan ini, penggodam menyerahkan borang pada pemuatan halaman tanpa pengetahuan mereka.
Bayangkan cuba membuat pembayaran dalam talian melalui platform e-dagang yang tidak selamat. Pemilik platform menggunakan permintaan GET untuk memproses transaksi anda. Pertanyaan GET itu mungkin kelihatan seperti ini:
https://websiteurl/pay?amount=$10&company=[company ABC's account]
Perampas boleh mencuri transaksi anda dengan mudah dengan menukar parameter permintaan GET. Untuk melakukan ini, apa yang mereka perlu lakukan ialah menukar nama anda dengan nama mereka, dan lebih teruk lagi, menukar jumlah yang anda ingin bayar. Mereka kemudian mengubah pertanyaan asal kepada sesuatu seperti ini:
https://websiteurl/pay?amount=$20000&company=[attacker's account]
Sebaik sahaja anda mengklik pautan ke permintaan GET yang diubah suai itu, anda akhirnya membuat pemindahan yang tidak disengajakan ke akaun penyerang.
Berurus niaga melalui permintaan GET adalah amalan buruk dan menjadikan aktiviti terdedah kepada serangan.
Walau bagaimanapun, ramai pembangun percaya bahawa menggunakan permintaan POST adalah lebih selamat untuk membuat transaksi web. Walaupun itu benar, malangnya, permintaan POST juga terdedah kepada serangan CSRF.
Untuk berjaya merampas permintaan POST, semua yang diperlukan oleh penyerang ialah ID sesi semasa anda, beberapa bentuk tidak kelihatan yang direplikasi dan kadangkala, sedikit kejuruteraan sosial.
Sebagai contoh, borang permintaan POST mungkin kelihatan seperti ini:
Walau bagaimanapun, penyerang boleh menukar kelayakan anda dengan membuat halaman baharu dan mengubah suai borang di atas menjadi ini:
Dalam borang yang dimanipulasi, penyerang menetapkan nilai medan amaun kepada "30000", menukar nombor akaun penerima kepada nombor akaun mereka, menyerahkan borang pada pemuatan halaman dan juga menyembunyikan medan borang daripada pengguna.
Sebaik sahaja mereka merampas sesi semasa itu, halaman transaksi anda memulakan ubah hala ke halaman penyerang, yang menggesa anda untuk mengklik pautan yang mereka tahu kemungkinan besar anda lawati.
Mengklik ini memuatkan penyerahan borang yang direplikasi, yang memindahkan dana anda ke dalam akaun penyerang. Ini bermakna anda tidak perlu mengklik butang seperti "hantar" untuk urus niaga berlaku, kerana JavaScript melakukan ini secara automatik apabila memuatkan halaman web seterusnya.
Sebagai alternatif, penyerang juga boleh mendraf e-mel terbenam HTML yang menggesa anda mengklik pautan untuk melaksanakan penyerahan borang beban halaman yang sama.
Satu lagi tindakan yang terdedah kepada serangan CSRF ialah nama pengguna atau perubahan kata laluan, contoh permintaan PUT. Penyerang mereplikasi borang permintaan anda dan menggantikan alamat e-mel anda dengan mereka.
Kemudian mereka mencuri sesi anda dan sama ada mengubah hala anda ke halaman atau menghantar e-mel kepada anda yang menggesa anda mengklik pautan yang menarik.
Itu kemudian menyerahkan borang yang dimanipulasi yang menghantar pautan tetapan semula kata laluan ke alamat e-mel penggodam dan bukannya alamat anda. Dengan cara itu, penggodam menukar kata laluan anda dan melog anda keluar daripada akaun anda.
Salah satu kaedah terbaik untuk menghalang CSRF ialah menggunakan token yang kerap berubah dan bukannya bergantung pada kuki sesi untuk menjalankan perubahan keadaan pada pelayan.
Berkaitan: Panduan Percuma untuk Memahami Keselamatan Digital dan Melindungi Privasi Anda
Banyak rangka kerja bahagian belakang moden menawarkan keselamatan terhadap CSRF. Oleh itu, jika anda ingin mengelak dari segi teknikal mempertingkatkan CSRF sendiri, anda boleh menanganinya dengan mudah dengan menggunakan rangka kerja sebelah pelayan yang disertakan dengan token anti-CSRF terbina dalam.
Apabila anda menggunakan token anti-CSRF, permintaan berasaskan pelayan menghasilkan rentetan rawak dan bukannya kuki sesi terdedah yang lebih statik. Dengan cara itu, anda boleh melindungi sesi anda daripada diduga oleh perampas.
Melaksanakan sistem pengesahan dua faktor (2FA) untuk menjalankan transaksi pada apl web anda juga mengurangkan peluang CSRF.
Anda boleh memulakan CSRF melalui skrip rentas tapak (XSS), yang melibatkan suntikan skrip ke dalam medan pengguna seperti borang ulasan. Untuk mengelakkan ini, adalah amalan yang baik untuk mendayakan HTML auto-escape dalam semua medan borang pengguna di seluruh tapak web anda. Tindakan itu menghalang medan borang daripada mentafsir elemen HTML.
Sebagai pengguna perkhidmatan web yang melibatkan pengesahan, anda perlu memainkan peranan dalam menghalang penyerang daripada mencuri bukti kelayakan dan sesi anda melalui CSRF juga.
Pastikan anda menggunakan perkhidmatan web yang dipercayai semasa aktiviti yang melibatkan pemindahan dana.
Di samping itu, gunakan penyemak imbas web selamat yang melindungi pengguna daripada pendedahan sesi, serta enjin carian selamat yang melindungi daripada kebocoran data carian.
Berkaitan: Enjin Carian Peribadi Terbaik Yang Menghormati Data Anda
Sebagai pengguna, anda juga boleh bergantung pada pengesah pihak ketiga seperti Google Authenticator atau alternatifnya untuk mengesahkan identiti anda melalui web.
Walaupun anda mungkin berasa tidak berdaya untuk menghentikan penyerang daripada merampas sesi anda, anda masih boleh membantu menghalang perkara ini dengan memastikan penyemak imbas anda tidak menyimpan maklumat seperti kata laluan dan butiran log masuk lain.
Pembangun perlu kerap menguji apl web untuk pelanggaran keselamatan semasa pembangunan dan penggunaan.
Walau bagaimanapun, adalah perkara biasa untuk memperkenalkan kelemahan lain semasa cuba menghalang orang lain. Jadi berhati-hati untuk memastikan bahawa anda tidak melanggar parameter keselamatan lain semasa cuba menyekat CSRF.
Shelter ialah apl berguna yang membolehkan anda membuat kotak pasir pada peranti Android anda. Ini bermakna anda boleh menjalankan salinan apl yang diklon, menyimpan dokumen dan menyelenggara akaun secara berasingan daripada ruang kerja utama anda. Ia seperti mempunyai telefon tambahan di dalam peranti anda!
Kemajuan dalam Teknologi Maklumat (IT) telah mewujudkan tempat kerja yang lebih produktif. Dan dengan jenis pengkomputeran awan, akses kepada alatan kerja digital tidak pernah semudah ini.
Rangkaian Peribadi Maya (VPN) ialah alat penting untuk menyemak imbas internet dengan selamat. Tetapi dengan semua pilihan yang tersedia di pasaran, terlalu mudah untuk mengalami keletihan membuat keputusan dan akhirnya tidak dilindungi tanpa VPN langsung.
GoFundMe ialah salah satu platform dalam talian teratas yang digunakan orang untuk meminta derma orang lain untuk membantu diri mereka sendiri atau orang tersayang. Tapak ini mempunyai pasukan khusus untuk memastikan wang yang dikumpul disalurkan kepada penerima yang dimaksudkan. Jika sesuatu gagal dalam hal itu, pasukan GoFundMe mengeluarkan bayaran balik.
Kod bar ialah salah satu cara terbaik untuk berkongsi data pada permukaan fizikal. Apa yang perlu dilakukan oleh orang yang berminat ialah mengimbas kod terus pada telefon pintar mereka untuk mengakses tapak web atau aplikasi.
Memandangkan kami perlu melindungi akaun dalam talian kami, pengurus kata laluan membantu memudahkan tugasan. Pengurus kata laluan bukan sahaja terhad kepada mengurus bukti kelayakan, tetapi anda juga mendapat pelbagai ciri dengannya.
Insiden penggodaman sentiasa mendominasi berita, dan memang wajar. Ini adalah bukti bahawa tiada siapa yang selamat, terutamanya apabila mangsa adalah sebuah syarikat besar dengan sistem keselamatan siber yang canggih. Satu penggodaman yang mempunyai kesan besar pada landskap keselamatan siber ialah penggodaman SolarWinds.
Fikirkan berapa banyak tapak web yang anda lawati pada hari tertentu. Sekarang fikirkan berapa banyak URL yang anda taip ke dalam penyemak imbas sendiri. Kemungkinannya, anda melawati lebih banyak tapak web daripada yang anda cari secara manual. Kebanyakan kita melakukannya melalui pautan.
Jika anda pernah mencucuk hidung anda ke dalam dunia keselamatan siber, anda akan tahu bahawa penggodam cenderung untuk mencari kelemahan yang melumpuhkan dalam teknologi yang mantap, membuka eksploitasi untuk ratusan ribu peranti di seluruh dunia. Begitulah kes eksploitasi BrakTooth, yang bertujuan untuk menimbulkan masalah untuk peranti Bluetooth di seluruh dunia.
Ia telah menjadi beberapa hari yang liar dalam dunia jailbreaking PlayStation 5 yang baru muncul, dengan dua kumpulan penggodaman yang berasingan membuat penemuan besar yang boleh menyaksikan jailbreaking PS5 tiba lebih awal daripada yang difikirkan sebelum ini.
Dengan perkhidmatan DNS yang selamat, anda boleh meningkatkan privasi dalam talian anda dengan mudah. Walau bagaimanapun, sesetengah perkhidmatan DNS memberikan anda fungsi tambahan bersama-sama dengan kawalan untuk menyesuaikan pengalaman dalam talian anda.
Anda mungkin pernah melihat kereta Google dengan kamera yang dipasang, merakam rakaman untuk mod Street View. Sungguh mengagumkan bahawa kita boleh menggunakan komputer atau telefon untuk melihat tempat yang tidak pernah kita lawati.
Pada Ogos 2021, penggabungan telah diumumkan antara NortonLifeLock dan Avast.
Semua orang nampaknya mahukan data peribadi anda. Sentiasa dengan niat untuk menjual sesuatu kepada anda, syarikat berebut untuk meminta anda menyemak produk mereka. Tetapi dengan internet yang dipenuhi dengan aliran pilihan yang tidak berkesudahan, memberikan pengalaman satu-dengan-satu pelanggan adalah satu-satunya cara untuk membezakan mereka.
Aplikasi perkongsian video TikTok adalah satu fenomena. Sejak penubuhannya pada 2017, rangkaian sosial itu mempunyai hampir 90 juta pengguna aktif di AS, dan aplikasi itu telah dimuat turun dianggarkan dua bilion kali.
Adakah anda terdedah kepada gemuk jari semasa menaip? Walaupun menaip e dan bukannya a atau melupakan tanda sempang apabila menaip alamat tapak web kegemaran anda nampaknya tidak berbahaya, ia mungkin menjadikan anda mangsa amalan jahat yang dikenali sebagai typosquatting.
Menyimpan maklumat dalam talian telah menjadi kebiasaan. Lebih banyak organisasi sedang menunda bahagian ini untuk kekal relevan dalam era kesalinghubungan ini.
Dalam usaha untuk mencegah penularan COVID-19, industri restoran meninggalkan kad menu lama dan beralih kepada menu digital atau kod Respons Pantas (QR) yang boleh diimbas.
Serangan perisian hasad semakin meningkat dan semakin maju sejak akhir-akhir ini. Organisasi dibebani dengan cabaran untuk sentiasa melindungi rangkaian IT mereka daripada ancaman siber.
Kemajuan dalam Teknologi Maklumat (IT) telah mewujudkan tempat kerja yang lebih produktif. Dan dengan jenis pengkomputeran awan, akses kepada alatan kerja digital tidak pernah semudah ini.
Rangkaian Peribadi Maya (VPN) ialah alat penting untuk menyemak imbas internet dengan selamat. Tetapi dengan semua pilihan yang tersedia di pasaran, terlalu mudah untuk mengalami keletihan membuat keputusan dan akhirnya tidak dilindungi tanpa VPN langsung.
Pemalsuan Permintaan Silang Tapak (CSRF) ialah salah satu cara tertua untuk mengeksploitasi kelemahan tapak web. Ia menyasarkan suis web sebelah pelayan yang biasanya memerlukan pengesahan seperti log masuk. Semasa serangan CSRF, penyerang bertujuan untuk memaksa mangsanya membuat permintaan web yang tidak dibenarkan dan berniat jahat bagi pihak mereka.
GoFundMe ialah salah satu platform dalam talian teratas yang digunakan orang untuk meminta derma orang lain untuk membantu diri mereka sendiri atau orang tersayang. Tapak ini mempunyai pasukan khusus untuk memastikan wang yang dikumpul disalurkan kepada penerima yang dimaksudkan. Jika sesuatu gagal dalam hal itu, pasukan GoFundMe mengeluarkan bayaran balik.
Kod bar ialah salah satu cara terbaik untuk berkongsi data pada permukaan fizikal. Apa yang perlu dilakukan oleh orang yang berminat ialah mengimbas kod terus pada telefon pintar mereka untuk mengakses tapak web atau aplikasi.
Memandangkan kami perlu melindungi akaun dalam talian kami, pengurus kata laluan membantu memudahkan tugasan. Pengurus kata laluan bukan sahaja terhad kepada mengurus bukti kelayakan, tetapi anda juga mendapat pelbagai ciri dengannya.
Insiden penggodaman sentiasa mendominasi berita, dan memang wajar. Ini adalah bukti bahawa tiada siapa yang selamat, terutamanya apabila mangsa adalah sebuah syarikat besar dengan sistem keselamatan siber yang canggih. Satu penggodaman yang mempunyai kesan besar pada landskap keselamatan siber ialah penggodaman SolarWinds.
Jika anda pernah mencucuk hidung anda ke dalam dunia keselamatan siber, anda akan tahu bahawa penggodam cenderung untuk mencari kelemahan yang melumpuhkan dalam teknologi yang mantap, membuka eksploitasi untuk ratusan ribu peranti di seluruh dunia. Begitulah kes eksploitasi BrakTooth, yang bertujuan untuk menimbulkan masalah untuk peranti Bluetooth di seluruh dunia.
Dengan perkhidmatan DNS yang selamat, anda boleh meningkatkan privasi dalam talian anda dengan mudah. Walau bagaimanapun, sesetengah perkhidmatan DNS memberikan anda fungsi tambahan bersama-sama dengan kawalan untuk menyesuaikan pengalaman dalam talian anda.
Anda mungkin pernah melihat kereta Google dengan kamera yang dipasang, merakam rakaman untuk mod Street View. Sungguh mengagumkan bahawa kita boleh menggunakan komputer atau telefon untuk melihat tempat yang tidak pernah kita lawati.
