CSRF چیست؟

CSRF مختصر عبارت Cross-site request forgery و یک اشکال امنیتی در برنامه‌نویسی وب است.
CSRF گاهی با واژه‌ی XSRF نیز شناخته می‌شود.

شیوه‌ی عملکرد هکرها در CSRF به این صورت است که مهاجم برای اجرای عملیات مالی یا تراکنش دلخواه خود، لینک انجام تراکنش را در محل‌های عمومی قرار می‌دهد. این عملیات ممکن است انتقال وجه از حساب قربانیان به حساب هکر باشد.

چنانچه فرد هدف در سایت ناایمن Login باشد و cookieهای آن سایت روی مرورگر او تنظیم باشند، کلیک روی لینک ارسال شده توسط هکر می‌تواند اهداف هکر را اجرایی کند. مثلا مبلغی از حساب وی کسر کند و به حساب هکر واریز کند.

حتی گاهی نیازی نیست تا فرد روی لینکی کلیک کند، هکر می‌تواند لینک مورد نظر خود را به عنوان نشانی یک تصویر در محل‌های عمومی مانند فروم‌ها یا شبکه‌های اجتماعی ناایمن درج کند.

در این صورت مرورگر قربانیان به صورت خودکار، لینک مورد نظر را روی سیستم تمام کاربران اجرا خواهد کرد.

نکته‌های امنیتی برای برنامه‌نویسان

برای جلوگیری از CSRF، انتقال‌های پولی و تراکنش‌های مهم باید در چند مرحله به انجام برسد و تحت هیچ شرایطی، یک لینک منحصر به فرد یا یک فرم تحت وب نباید عملکردی کامل داشته باشد.
استفاده از کدهای امنیتی captcha نیز می‌تواند از رویداد CSRF جلوگیری کنند.
بررسی referer در سرآمد درخواست HTTP نیز می‌تواند احتمال رخداد CSRF را به حداقل برساند.

نکته‌های امنیتی برای کاربران

کاربران سیستم‌های بانکی نیز بهتر است در هنگام استفاده از سیستم‌هایی مانند اینترنت بانک، تنها یک صفحه‌ی باز داشته باشند و پس از پایان استفاده از این سیستم‌ها، کاملا از سیستم خارج شوند.

این نوشته در امنیت, برنامه‌نویسی ارسال و , برچسب شده است. افزودن پیوند یکتا به علاقه‌مندی‌ها.

یک دیدگاه برای CSRF چیست؟

  1. حمید رضا غلامی می‌گوید:

    بسیار عالی بود

پاسخ دادن به حمید رضا غلامی لغو پاسخ

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

شما می‌توانید از این دستورات HTML استفاده کنید: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>