Forum
Cross-site request forgery (XSRF hoặc CSRF) là một phương thức tấn công một trang web, trong đấy kẻ xâm nhập giả mạo là người dùng hợp pháp và đáng tin cậy.
Cross-Site Request Forgery là gì?
Một cuộc tiến công XSRF cũng có thể được dùng để làm sửa đổi cài đặt tường lửa, đăng dữ liệu trái phép trên diễn đàn hoặc thi hành các giao dịch tài chính gian lận. Một người sử dụng bị tấn công cũng có thể không bao giờ biết mình đã trở thành nạn nhân của XSRF. Thậm chí nếu người dùng có phát hiện ra cuộc tấn công này, thì cũng chỉ sau khi hacker đã gây ra những thiệt hại nhất định và không có giải pháp để khắc phục vấn đề này.
Cuộc tấn công Cross-site request forgery được thực hiện như ra sao?
Một cuộc tiến công XSRF có thể được thực hiện bằng phương pháp đánh cắp danh tánh của người dùng hiện có, sau đó hack vào máy server web bằng danh tính đã đánh cắp trước đó. Kẻ tiến công cũng có thể có thể lừa người dùng hợp pháp vô tình gửi các đòi hỏi Hypertext Transfer Protocol (HTTP) và trả lại dữ liệu người dùng mẫn cảm cho kẻ xâm nhập.
Cross-Site Request Forgery có giống với Cross-site scripting hay Cross-site tracing không?
Một cuộc tiến công XSRF về mặt chức năng trái ngược với cuộc tấn công Cross-site scripting (XSS), trong đó tin tặc chèn mã độc vào liên kết trên một trang web, có vẻ là khoảng một nguồn đáng tin cậy. Khi người sử dụng cuối nhấp vào liên kết, chương trình nhúng được gửi như 1 phần yêu cầu và cũng có thể thực thi trên máy tính của người dùng.
Cuộc tiến công XSRF cũng khác với Cross-site tracing (XST), một dạng XSS tinh vi cấp phép kẻ đột nhập lấy cookie và dữ liệu xác thực khác bằng cách dùng tập lệnh phía máy khách đơn giản. Trong XSS và XST, người dùng cuối là mục tiêu chính của cuộc tấn công. Trong XSRF, máy chủ Web là mục đích chính, mặc dầu tai hại của cuộc tiến công này do người dùng cuối gánh chịu.
Mức độ nguy hiểm của Cross-site request forgery
Các cuộc tấn công XSRF khó phòng trừ hơn những cuộc tấn công XSS hoặc XST. Một phần là vì các cuộc tiến công XSRF ít thông dụng hơn và không nhận được nhiều sự chú ý. Mặt khác, trên thực tế, khó cũng có thể xác định liệu một đòi hỏi HTTP từ một người sử dụng cụ thể có thực sự do chính người đó gửi hay không. Mặc dù các biện pháp phòng ngừa nghiêm ngặt cũng có thể có thể được dùng để xác minh danh tính người dùng đang cố truy cập trang web, nhưng người sử dụng chả mấy “mặn mà” với những đòi hỏi xác thực thường xuyên. Việc sử dụng mã thông báo (token) mã hóa có thể cung cấp xác thực thường xuyên trong chế độ nền để người dùng khỏi bị làm phiền liên tục bởi các đòi hỏi xác thực.
- Đến lượt GitHub bị tấn công đòi tiền chuộc
- Phát hiện lỗ hổng bảo mật Dragonblood trong WPA3
- Lệnh kiểm tra siêu liên kết đang được hacker dùng để thi hành DDoS
- Whaling Attack là gì? Tại sao các CEO cần đặc biệt lưu tâm đến hình thức tiến công mạng này?
cross-site request forgery,cross-site request forgery là gì,XSRF,CSRF,tấn công mạng
Nội dung Tìm hiểu về phương thức tấn công Cross-Site Request Forgery được tổng hợp sưu tầm biên tập bởi: Tin Học Trường Tín. Mọi ý kiến vui lòng gửi Liên Hệ cho truongtin.top để điều chỉnh. truongtin.top tks.
Bài Viết Liên Quan
Bài Viết Khác
- Địa Chỉ Cài Win Quận 3 – Cài Đặt PC Laptop Tại Nhà Q3
- Sửa Wifi Tại Nhà Quận 4
- Sửa Laptop Quận 3
- Dịch Vụ Cài Lại Windows 7,8,10 Tận Nhà Quận 4
- Dịch Vụ Cài Lại Windows 7,8,10 Tận Nhà Quận 3
- Tuyển Thợ Sửa Máy Tính – Thợ Sửa Máy In Tại Quận 4 Lương Trên 10tr
- Tuyển Thợ Sửa Máy Tính – Thợ Sửa Máy In Tại Quận 3
- Địa Chỉ Vệ Sinh Máy Tính Quận 3 – Dịch Vụ Giá Rẻ
- Top 10 Đơn Vị Lắp Đặt Camera Quan Sát An Ninh Tại Tphcm
- Địa Chỉ Sửa Máy Lọc Không Khí Quận 1
- Đánh giá HP Elite Dragonfly (2020): Bản tái chế cao cấp
- Cách tạo email ảo trên IdBloc
- 【Ricoh】 Trung tâm nạp mực máy in Ricoh SP 5210DN