Mavzu: Cross site request forgery tahdidi, Cross site request forgery amalga oshirish csrf nima?



Download 214,66 Kb.
Pdf ko'rish
Sana06.07.2022
Hajmi214,66 Kb.
#744890
Bog'liq
Cross site request forgery tahdidi, Cross site request forgery amalga oshirish (1)


Mavzu: Cross site request forgery tahdidi, Cross site request forgery amalga 
oshirish 
 
CSRF nima? 
Cross site request forgery(CSRF)(Saytlararo so‘rovni qalbakilashtirish) - bu 
HTTP protokolidagi kamchiliklardan foydalanadigan veb-sayt foydalanuvchilariga 
qilingan hujum. Agar tajovuzkor tomonidan yaratilgan saytga jabrlanuvchi kirsa
uning nomidan ba’zi bir zararli operatsiyalarni bajarish uchun boshqa serverga 
(masalan, to‘lov tizimining serveriga) yashirin so‘rov yuboriladi. Ushbu hujumni 
amalga oshirish uchun jabrlanuvchi so‘rov yuboriladigan serverda(veb saytda) 
autentifikatsiyadan o‘tgan bo‘lishi kerak va ushbu so‘rov foydalanuvchi tomonidan 
tasdiqlanishi talab qilinmasligi kerak.
Bu odatda quyidagicha sodir bo‘lishi mumkin. Jabrlanuvchi brauzerni ochib 
biron veb saytga kiradi, ushbu saytga autentifikasiyafdan o‘tgan bo‘ladi. Ma’lum 
vaqtdan keyin jabrlanuvchi brauzerda boshqa biron zararli saytga kiradi. Natijada 
ushbu zararli sayt veb sahifasi yuklangan paytda yoki ma’lum bir 
hodisa(masalan:sichqoncha bosish) sodir bo‘lganda, undan boshqa(ya’ni 
jabrlanuvchi oldin kirgan) veb saytga so‘rov yuboriladi. Ushbu so‘rov natijasida 
boshqa serverda ma’lum zararli operasiya amalga oshishi mumkin. 
Ushbu turdagi hujum haqida nazariy ma’lumotlar 1988 yilda paydo bo‘lgan 
bo‘lsa ham, birinchi zaifliklar 2000 yilda aniqlangan. Terminning o‘zi 2001 yilda 
Piter Uotkins tomonidan qo‘llanilgan. 
CSRF-ning asosiy qo‘llanilishi - jabrlanuvchining nomidan zaif saytga biron 
bir amalni bajarishga majbur qilishdir (parolni o‘zgartirish, parolni tiklash uchun 
maxfiy savol, administratorni qo‘shish va h.z.).
Misol:
Боб: 
Привет, 
Алиса! 
Посмотри, 
какой 
милый 
котик: 

src="http://bank.example.com/withdraw?account=Alice&amount=1000000&for=
Bob"> 
Ushbu HTML kod buz’unchi tomonidan saytga joylashtiriladi. Ushbu saytga 
jabrlanuvchi kirgan paytda uning nomidan 
bank.example.com 
veb serveriga so‘rov 
jo‘natiladi. Chunki brauzer img tegida ko‘rsatilgan rasmni yuklash uchun 
bank.example.com 
veb serveriga so‘rov jo‘natadi. Bu esa 
bank.example.com 
veb 
serverida zararli amalni bajarilishiga olib kelishi mumin. 
CSRF ga misollar: 
1) 
Read 
more! 
2) 
 
 
 
 

 
 

 Mail 
to:


type=text 
name=to 
value="user2spam@example.com">

Message:

Spam The





 

Download 214,66 Kb.

Do'stlaringiz bilan baham:



Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©hozir.org 2024
ma'muriyatiga murojaat qiling
kiriting | ro'yxatdan o'tish
    Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha

yuklab olish