Chắc hẳn những bạn cũng đã nghe ở đâu đó đến từ CSRF này rồi đúng không ? hoặc khi những bạn sử dụng những framework cũng thấy có nó, … Nhưng những bạn chưa hiểu nó chính là gì ? => Bài này mình cũng sẽ giúp cho chúng ta giải đáp vướng mắc về nó !
1, CSRF là gì vậy?
–CSRF là viết tắt của đến từ “Cross-Site Request Forgery”, đây là một kỹ thuật tấn công sử dụng quyền triệu chứng thực của người dùng để thực hiện các hành động trên một website khác.
Bạn đang xem : Cross-site request forgery là gì
Bạn đang đọc: Cross-Kỹ thuật này đã được xuất hiện lần đầu tiên vào năm 1990 nhưng nó không được phát hiện một cách trực tiếp, cho đến năm 2007 trở đi thì nó mới nổi lên rầm rộ (vụ hơn 18tr người dùng ebay tại hàn quốc bị lộ thông tin các nhân).
Cross-Site Request Forgery Là Gì, Lỗ Hổng Bảo Mật Csrf
. Kỹ thuật này được nhận xét là khá nguy khốn và hậu quả mà nó gây nên chưa hề kể đến đã được : D.Và cũng chính những ông lớn như Youtube, facebook, .. cũng đã từng dính phải những lỗi này .
2, Những hình thức tấn công.
-Như các bạn đã biết, thì các ứng dụng website đều thực hiện giao thức HTTP để nhận yêu cầu từ người dùng để thự thi các lệnh tương ứng. Và dựa vào cách này thì các Hacker có thể nhúng kèm vào một số request đến các ứng dụng web khác khi bạn vào một website có chứa mã độc.
Hãy tưởng tượng bạn đang làm admin của một website nào đó thí dụ điển hình, mà khi đó bạn đang không logout ra khỏi mạng lưới hệ thống quản trị ( phiên thao tác vẫn còn ) , bạn đi sang một forum khác đọc tin tức hay là làm gì đó. Khi này hacker hoàn toàn có thể chèn một mã độc dạng như sau để hoàn toàn có thể thực thi một vài hành vi ở trên website của bạn ( ở đây mình demo chính là xóa tổng thể bài viết ) :
-Trường hợp ở trên sẽ hoàn toàn đúng nếu như bạn không đăng xuất ra khỏi hệ thống web của bạn.
Ngoài cách ở trên thì hacker có thể thực thi được CSRF qua các HTML tag sau nữa:
Tag iframe:Tag iframe :Tag link : Tag script : Css :Và vô vàn cách thức khác nữa…Và vô vàn phương pháp khác nữa … : Rel Nofollow Là Gì : Cách Sử Dụng Dofollow Và Nofollow Là Gì ?
3, Các cách phòng tránh.
-Tuy rằng lỗi này rất phổ biến, nhưng phòng trống nó lại rất nhiều đơn giản. Những bạn có thể phòng trống chỉ bằng các cách sau:
Phòng trống phía client
Để phòng trống đã được cách này thì mỗi những nhân mọi người nên đăng xuất ra khỏi những website quan trong khi không dùng đến, đặc biệt quan trọng là những website lên quan đến tiền tệ .Không click vào các link lạ ở trên bất kỳ một trang web, gmail, facebook, … nào.Trong khi thực hiện các giao dịch quan trọng thì chưa lên vào các trang web khác….
Phía Server
Chúng ta có thể làm xây dựng captcha cho các yêu cầu quan trọng.Đối với các hệ thống quan trọng thì chúng ta nên thiết lập sẵn các ip được cho phép.
4, Lời kết.
Không click vào những link lạ ở trên bất kể một website, gmail, facebook, … nào. Trong khi thực thi những thanh toán giao dịch quan trọng thì không lên vào những website khác …. Chúng ta hoàn toàn có thể triển khai kiến thiết xây dựng captcha cho những nhu yếu quan trọng. Đối với những mạng lưới hệ thống quan trọng thì tất cả chúng ta nên thiết lập sẵn những ip được được cho phép .- Chúng ta nên sử dụng những cách này để bảo vệ chính những website của mình , của người mua. Để giảm thiểu được những điều không mong ước hoàn toàn có thể xảy ra .