Cross-Site Request Forgery (CSRF) to jeden z najstarszych sposobów wykorzystywania luk w zabezpieczeniach witryny. Jego celem są przełączniki sieciowe po stronie serwera, które zwykle wymagają uwierzytelnienia, takiego jak logowanie. Podczas ataku CSRF atakujący dąży do zmuszenia swojej ofiary do wykonania nieautoryzowanego, złośliwego żądania internetowego w jego imieniu.
Słabe lub słabe praktyki bezpieczeństwa witryny i nieostrożność na ścieżce użytkownika to tylko niektóre z najczęstszych przyczyn udanego ataku CSRF.
Przyjrzyjmy się, czym jest atak CSRF i możliwymi sposobami, w jakie możesz się przed nim uchronić jako programista lub jako użytkownik.
CSRF to atak używany do implementowania nieautoryzowanych żądań podczas akcji internetowych, które wymagają logowania lub uwierzytelnienia użytkownika. Ataki CSRF mogą wykorzystywać identyfikatory sesji, pliki cookie, a także inne luki w zabezpieczeniach serwerów, aby wykraść dane uwierzytelniające użytkownika.
Na przykład włączenie procedur anty-CSRF zapobiega złośliwym interakcjom między domenami.
Po przełamaniu tej bariery osoba atakująca może szybko wykorzystać identyfikator sesji użytkownika za pośrednictwem plików cookie utworzonych przez przeglądarkę użytkownika i osadzić tag skryptu w zagrożonej witrynie.
Manipulując identyfikatorem, osoba atakująca może również przekierować odwiedzających na inną stronę internetową lub wykorzystać metody socjotechniki, takie jak poczta e-mail, w celu wysłania linków, zachęcając ofiarę do pobrania złośliwego oprogramowania.
Gdy ofiara wykona takie działania, wysyła żądanie HTTP do strony usługi użytkownika i autoryzuje działanie żądania na korzyść atakującego. To może być druzgocące dla niczego niepodejrzewającego użytkownika.
Udany atak CSRF może spowodować, że autoryzowani użytkownicy stracą swoje dane uwierzytelniające dostęp na rzecz atakującego, zwłaszcza podczas działań na serwerze, takich jak żądania zmiany hasła lub nazwy użytkownika. W gorszych scenariuszach atakujący przejmuje całą sesję i działa w imieniu użytkowników.
CSRF został wykorzystany do przejęcia transakcji finansowych przez Internet, a także do zmiany nazw użytkowników i haseł, co prowadzi do utraty przez użytkowników dostępu do usługi, której dotyczy problem.
Głównymi celami ataków CSRF są akcje internetowe obejmujące uwierzytelnianie użytkownika. Aby odnieść sukces, potrzebne są niezamierzone działania ofiary.
Podczas ataku CSRF głównymi celami atakującego są akcje GET, DELETE i PUT, a także podatne na ataki żądania POST.
Przyjrzyjmy się znaczeniu tych terminów:
W praktyce atakujący wykorzystują przejmowanie sesji, aby wykonać kopię zapasową ataku CSRF. Korzystając z tej kombinacji, atakujący może użyć przejęcia, aby zmienić adres IP ofiary.
Zmiana adresu IP następnie loguje ofiarę na nowej stronie internetowej, na której atakujący umieścił oszukańcze łącze, które przesyła zreplikowany formularz lub zmodyfikowane żądanie serwera utworzone przez CSRF.
Następnie niczego niepodejrzewający użytkownik myśli, że przekierowanie pochodzi od usługodawcy i klika łącze na stronie atakującego. Po wykonaniu tej czynności hakerzy przesyłają formularz podczas ładowania strony bez ich wiedzy.
Wyobraź sobie, że próbujesz dokonać płatności online za pośrednictwem niezabezpieczonej platformy handlu elektronicznego. Właściciele platformy wykorzystują żądanie GET do przetworzenia Twojej transakcji. To zapytanie GET może wyglądać tak:
https://websiteurl/pay?amount=$10&company=[company ABC's account]
Porywacz może łatwo ukraść Twoją transakcję, zmieniając parametry żądania GET. Aby to zrobić, wszystko, co muszą zrobić, to zamienić twoje imię na swoje, a co gorsza zmienić kwotę, którą zamierzasz zapłacić. Następnie dostosowują oryginalne zapytanie do czegoś takiego:
https://websiteurl/pay?amount=$20000&company=[attacker's account]
Po kliknięciu linku do zmodyfikowanego żądania GET następuje niezamierzony transfer na konto osoby atakującej.
Transakcja za pośrednictwem żądań GET jest złą praktyką i sprawia, że działania są podatne na ataki.
Jednak wielu programistów uważa, że korzystanie z żądania POST jest bezpieczniejsze przy dokonywaniu transakcji internetowych. Chociaż to prawda, niestety żądanie POST jest również podatne na ataki CSRF.
Aby skutecznie przejąć żądanie POST, atakujący potrzebuje tylko bieżącego identyfikatora sesji, niektórych zreplikowanych niewidocznych formularzy, a czasem odrobiny socjotechniki.
Na przykład formularz żądania POST może wyglądać tak:
Jednak osoba atakująca może zamienić Twoje dane uwierzytelniające, tworząc nową stronę i modyfikując powyższy formularz w następujący sposób:
W zmanipulowanym formularzu atakujący ustawia wartość pola kwoty na „30000”, zamienia numer konta odbiorcy na jego, przesyła formularz podczas ładowania strony, a także ukrywa pola formularza przed użytkownikiem.
Po przechwyceniu bieżącej sesji strona transakcji inicjuje przekierowanie na stronę atakującego, co powoduje wyświetlenie monitu o kliknięcie łącza, o którym wiedzą, że najprawdopodobniej go odwiedzą.
Kliknięcie tego spowoduje załadowanie zreplikowanego formularza, który przeniesie Twoje środki na konto atakującego. Oznacza to, że nie musisz klikać przycisków takich jak „wyślij”, aby transakcja miała miejsce, ponieważ JavaScript robi to automatycznie po załadowaniu następnej strony internetowej.
Alternatywnie, osoba atakująca może również przygotować wersję roboczą wiadomości e-mail osadzonej w formacie HTML, która monituje o kliknięcie łącza w celu wykonania tego samego przesłania formularza ładowania strony.
Inną akcją, która jest podatna na atak CSRF, jest zmiana nazwy użytkownika lub hasła, przykład żądania PUT. Atakujący replikuje Twój formularz zgłoszeniowy i zastępuje Twój adres e-mail swoim.
Następnie kradną twoją sesję i albo przekierowują cię na stronę, albo wysyłają ci e-mail z prośbą o kliknięcie atrakcyjnego linku.
Następnie przesyła zmanipulowany formularz, który wysyła łącze do resetowania hasła na adres e-mail hakera zamiast na Twój. W ten sposób haker zmieni Twoje hasło i wyloguje Cię z konta.
Jedną z najlepszych metod zapobiegania CSRF jest używanie często zmieniających się tokenów zamiast polegania na plikach cookie sesji w celu uruchomienia zmiany stanu na serwerze.
Powiązane: bezpłatne przewodniki dotyczące bezpieczeństwa cyfrowego i ochrony prywatności
Wiele nowoczesnych frameworków backendowych oferuje zabezpieczenie przed CSRF. Jeśli więc chcesz uniknąć technicznych aspektów wzmacniania się przeciwko CSRF, możesz łatwo sobie z tym poradzić, korzystając z frameworków po stronie serwera, które są dostarczane z wbudowanymi tokenami anty-CSRF.
Gdy używasz tokena anty-CSRF, żądania oparte na serwerze generują losowe ciągi zamiast bardziej statycznych, podatnych na ataki plików cookie sesji. W ten sposób możesz chronić swoją sesję przed odgadnięciem przez porywacza.
Wdrożenie systemu uwierzytelniania dwuskładnikowego (2FA) do uruchamiania transakcji w Twojej aplikacji internetowej również zmniejsza szanse na CSRF.
Możliwe jest zainicjowanie CSRF za pomocą skryptów między witrynami (XSS), które obejmują wstrzykiwanie skryptu do pól użytkownika, takich jak formularze komentarzy. Aby temu zapobiec, dobrą praktyką jest włączenie automatycznego wyjścia HTML we wszystkich polach formularzy użytkownika w witrynie. Ta akcja zapobiega interpretowaniu elementów HTML przez pola formularzy.
Jako użytkownik usługi sieciowej, która obejmuje uwierzytelnianie, masz do odegrania rolę w zapobieganiu kradzieży danych uwierzytelniających i sesji przez atakujących również za pośrednictwem CSRF.
Upewnij się, że korzystasz z zaufanych usług internetowych podczas czynności związanych z transferem środków.
Oprócz tego używaj bezpiecznych przeglądarek internetowych, które chronią użytkowników przed ujawnieniem sesji, a także bezpiecznych wyszukiwarek, które chronią przed wyciekiem danych wyszukiwania.
Powiązane: Najlepsze prywatne wyszukiwarki, które szanują Twoje dane
Jako użytkownik możesz również polegać na zewnętrznych usługach uwierzytelniających, takich jak Google Authenticator lub jego alternatywach, jeśli chodzi o weryfikację swojej tożsamości w internecie.
Chociaż możesz czuć się bezradny, aby powstrzymać atakującego przed przejęciem Twojej sesji, nadal możesz temu zapobiec, upewniając się, że Twoja przeglądarka nie przechowuje informacji, takich jak hasła i inne dane logowania.
Deweloperzy muszą regularnie testować aplikacje internetowe pod kątem naruszeń bezpieczeństwa podczas opracowywania i wdrażania.
Jednak często wprowadza się inne luki, próbując zapobiec innym. Dlatego uważaj, aby upewnić się, że nie naruszyłeś innych parametrów bezpieczeństwa podczas próby zablokowania CSRF.
Shelter to przydatna aplikacja, która umożliwia tworzenie piaskownicy na urządzeniu z Androidem. Oznacza to, że możesz uruchamiać sklonowane kopie aplikacji, przechowywać dokumenty i utrzymywać konta niezależnie od głównego obszaru roboczego. To tak, jakby w urządzeniu mieszkał dodatkowy telefon!
Postępy w technologii informacyjnej (IT) stworzyły bardziej produktywne miejsca pracy. A dzięki takim rozwiązaniom jak cloud computing, dostęp do cyfrowych narzędzi pracy nigdy nie był łatwiejszy.
Wirtualna sieć prywatna (VPN) jest niezbędnym narzędziem do bezpiecznego przeglądania Internetu. Ale przy wszystkich opcjach dostępnych na rynku zbyt łatwo jest popaść w zmęczenie decyzją i skończyć bez ochrony bez VPN.
GoFundMe to jedna z najlepszych platform internetowych, z których ludzie korzystają, aby prosić innych o darowizny, aby pomóc sobie lub ich bliskim. Witryna ma dedykowany zespół, który zapewnia, że zebrane pieniądze trafią do zamierzonych odbiorców. Jeśli coś zawiedzie w tym zakresie, zespół GoFundMe dokonuje zwrotu pieniędzy.
Microsoft Authenticator to aplikacja, która umożliwia uwierzytelnianie dwuskładnikowe w obsługiwanych aplikacjach i witrynach internetowych. Uwierzytelnianie dwuskładnikowe (2FA) jest znacznie trudniejsze do pokonania niż tylko dodanie hasła do konta. Dlatego wiele firm zajmujących się cyberbezpieczeństwem zaleca skonfigurowanie 2FA dla wszystkich usług, z których korzystasz.
Biorąc pod uwagę, że musimy zabezpieczyć nasze konta internetowe, menedżer haseł ułatwia zadanie. Menedżer haseł nie ogranicza się tylko do zarządzania poświadczeniami, ale zapewnia także szeroki zakres funkcji.
Incydenty hakerskie zawsze dominują w wiadomościach i słusznie. Są dowodem na to, że nikt nie jest bezpieczny, zwłaszcza gdy ofiarą jest duża korporacja z zaawansowanym systemem cyberbezpieczeństwa. Jednym hackiem, który miał znaczący wpływ na krajobraz cyberbezpieczeństwa, był hack SolarWinds.
Pomyśl, ile witryn odwiedzasz danego dnia. Teraz pomyśl, ile adresów URL sam wpisujesz w przeglądarce. Są szanse, że odwiedzasz o wiele więcej stron internetowych, niż wyszukujesz ręcznie. Większość z nas robi to poprzez linki.
Jeśli kiedykolwiek wsadziłeś nos w świat cyberbezpieczeństwa, wiesz, że hakerzy mają tendencję do znajdowania paraliżujących luk w dobrze ugruntowanych technologiach, otwierając exploit dla setek tysięcy urządzeń na całym świecie. Tak jest w przypadku exploita BrakTooth, którego celem jest spowodowanie problemów dla urządzeń Bluetooth na całym świecie.
Minęło kilka szalonych dni w powstającym świecie jailbreakingu na PlayStation 5, w którym dwie oddzielne grupy hakerskie dokonały poważnych odkryć, dzięki którym jailbreaking na PS5 może pojawić się szybciej, niż wcześniej sądzono.
Dzięki bezpiecznym usługom DNS możesz łatwo zwiększyć swoją prywatność w Internecie. Jednak niektóre usługi DNS zapewniają dodatkowe funkcje wraz z elementami sterującymi, które pozwalają dostosować korzystanie z Internetu.
Prawdopodobnie widziałeś samochód Google z zamontowanym aparatem, robiący zdjęcia w trybie Street View. To niesamowite, że możemy użyć komputera lub telefonu, aby zobaczyć miejsca, których nigdy nie odwiedziliśmy.
W sierpniu 2021 r. ogłoszono fuzję NortonLifeLock i Avast.
Wydaje się, że wszyscy chcą Twoich danych osobowych. Zawsze z zamiarem sprzedania Ci czegoś, firmy starają się skłonić Cię do sprawdzenia ich produktów. Ale ponieważ Internet jest wypełniony niekończącym się strumieniem opcji, zapewnienie indywidualnej obsługi klienta jest jedynym sposobem na ich odróżnienie.
Aplikacja do udostępniania wideo TikTok to fenomen. Od momentu powstania w 2017 roku sieć społecznościowa ma prawie 90 milionów aktywnych użytkowników w Stanach Zjednoczonych, a aplikacja została pobrana około dwa miliardy razy.
Czy podczas pisania masz skłonność do palcowania tłuszczu? Chociaż wpisywanie e zamiast a lub zapominanie łącznika podczas wpisywania adresu ulubionych stron internetowych jest pozornie nieszkodliwe, może sprawić, że staniesz się ofiarą okrutnej praktyki znanej jako typosquatting.
Przechowywanie informacji online stało się normą. Coraz więcej organizacji ciągnie tę część, aby pozostać na czasie w erze wzajemnych połączeń.
Aby zapobiec rozprzestrzenianiu się COVID-19, branża restauracyjna rezygnuje ze staroświeckich kart menu i przechodzi na cyfrowe menu lub skanowalne kody szybkiej odpowiedzi (QR).
Ataki złośliwego oprogramowania są coraz częstsze i ostatnio stają się coraz bardziej zaawansowane. Organizacje są obarczone wyzwaniem ciągłej ochrony swoich sieci IT przed zagrożeniami cybernetycznymi.
Postępy w technologii informacyjnej (IT) stworzyły bardziej produktywne miejsca pracy. A dzięki takim rozwiązaniom jak cloud computing, dostęp do cyfrowych narzędzi pracy nigdy nie był łatwiejszy.
Wirtualna sieć prywatna (VPN) jest niezbędnym narzędziem do bezpiecznego przeglądania Internetu. Ale przy wszystkich opcjach dostępnych na rynku zbyt łatwo jest popaść w zmęczenie decyzją i skończyć bez ochrony bez VPN.
Cross-Site Request Forgery (CSRF) to jeden z najstarszych sposobów wykorzystywania luk w zabezpieczeniach witryn internetowych. Jego celem są przełączniki sieciowe po stronie serwera, które zwykle wymagają uwierzytelnienia, takiego jak logowanie. Podczas ataku CSRF atakujący dąży do zmuszenia swojej ofiary do wykonania nieautoryzowanego, złośliwego żądania internetowego w jego imieniu.
GoFundMe to jedna z najlepszych platform internetowych, z których ludzie korzystają, aby prosić innych o darowizny, aby pomóc sobie lub ich bliskim. Witryna ma dedykowany zespół, który zapewnia, że zebrane pieniądze trafią do zamierzonych odbiorców. Jeśli coś zawiedzie w tym zakresie, zespół GoFundMe dokonuje zwrotu pieniędzy.
Kody kreskowe to jeden z najlepszych sposobów udostępniania danych na fizycznej powierzchni. Wystarczy zeskanować kod bezpośrednio na smartfonie, aby uzyskać dostęp do strony internetowej lub aplikacji.
Biorąc pod uwagę, że musimy zabezpieczyć nasze konta internetowe, menedżer haseł ułatwia zadanie. Menedżer haseł nie ogranicza się tylko do zarządzania poświadczeniami, ale zapewnia także szeroki zakres funkcji.
Incydenty hakerskie zawsze dominują w wiadomościach i słusznie. Są dowodem na to, że nikt nie jest bezpieczny, zwłaszcza gdy ofiarą jest duża korporacja z zaawansowanym systemem cyberbezpieczeństwa. Jednym hackiem, który miał znaczący wpływ na krajobraz cyberbezpieczeństwa, był hack SolarWinds.
Jeśli kiedykolwiek wsadziłeś nos w świat cyberbezpieczeństwa, wiesz, że hakerzy mają tendencję do znajdowania paraliżujących luk w dobrze ugruntowanych technologiach, otwierając exploit dla setek tysięcy urządzeń na całym świecie. Tak jest w przypadku exploita BrakTooth, którego celem jest spowodowanie problemów dla urządzeń Bluetooth na całym świecie.
Dzięki bezpiecznym usługom DNS możesz łatwo zwiększyć swoją prywatność w Internecie. Jednak niektóre usługi DNS zapewniają dodatkowe funkcje wraz z elementami sterującymi, które pozwalają dostosować korzystanie z Internetu.
Prawdopodobnie widziałeś samochód Google z zamontowanym aparatem, robiący zdjęcia w trybie Street View. To niesamowite, że możemy użyć komputera lub telefonu, aby zobaczyć miejsca, których nigdy nie odwiedziliśmy.
