Информационная безопасность компьютерных систем и защита конфиденциальных данных
SecuRRity.Ru » Термины » XSRF (Подделка межсайтовых запросов)
Термины

XSRF (Подделка межсайтовых запросов)

автор: Administrator | 9 февраля 2009, 04:17 | Просмотров: 4902
теги: Термины, XSRF, запрос, протокол, HTTP, веб-сайт, уязвимости, XSS



XSRF (англ. Сross Site Request Forgery - «Подделка межсайтовых запросов») - вид атак на посетителей веб-сайтов, использующий недостатки протокола HTTP. Если жертва заходит на сайт, созданный злоумышленником, от её лица тайно отправляется запрос на другой сервер (например, на сервер платёжной системы), осуществляющий некую вредоносную операцию (например, перевод денег на счёт злоумышленника).

Для осуществления данной атаки, жертва должна быть авторизована на том сервере, на который отправляется запрос, и этот запрос не должен требовать какого-либо подтверждения со стороны пользователя.

Данный тип атак, вопреки распространённому заблуждению, появился достаточно давно: первые теоретические рассуждения появились в 1988 году, а первые уязвимости были обнаружены в 2000 году.

Одно из применений XSRF - эксплуатация пассивных XSS, обнаруженных на другом сервере. Так же возможны отправка писем(спам) от лица жертвы и изменение каких-либо настроек учётных записей на других сайтах(например, секретного вопроса для восстановления пароля).

Для защиты от данного типа атак, веб-сайты должны требовать подтверждения большинства действий пользователя и проверять поле HTTP referer, если оно указано в запросе.

Обратная связь

Информация


Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.