CSRF مختصر عبارت Cross-site request forgery و یک اشکال امنیتی در برنامهنویسی وب است.
CSRF گاهی با واژهی XSRF نیز شناخته میشود.
شیوهی عملکرد هکرها در CSRF به این صورت است که مهاجم برای اجرای عملیات مالی یا تراکنش دلخواه خود، لینک انجام تراکنش را در محلهای عمومی قرار میدهد. این عملیات ممکن است انتقال وجه از حساب قربانیان به حساب هکر باشد.
چنانچه فرد هدف در سایت ناایمن Login باشد و cookieهای آن سایت روی مرورگر او تنظیم باشند، کلیک روی لینک ارسال شده توسط هکر میتواند اهداف هکر را اجرایی کند. مثلا مبلغی از حساب وی کسر کند و به حساب هکر واریز کند.
حتی گاهی نیازی نیست تا فرد روی لینکی کلیک کند، هکر میتواند لینک مورد نظر خود را به عنوان نشانی یک تصویر در محلهای عمومی مانند فرومها یا شبکههای اجتماعی ناایمن درج کند.
در این صورت مرورگر قربانیان به صورت خودکار، لینک مورد نظر را روی سیستم تمام کاربران اجرا خواهد کرد.
نکتههای امنیتی برای برنامهنویسان
برای جلوگیری از CSRF، انتقالهای پولی و تراکنشهای مهم باید در چند مرحله به انجام برسد و تحت هیچ شرایطی، یک لینک منحصر به فرد یا یک فرم تحت وب نباید عملکردی کامل داشته باشد.
استفاده از کدهای امنیتی captcha نیز میتواند از رویداد CSRF جلوگیری کنند.
بررسی referer در سرآمد درخواست HTTP نیز میتواند احتمال رخداد CSRF را به حداقل برساند.
نکتههای امنیتی برای کاربران
کاربران سیستمهای بانکی نیز بهتر است در هنگام استفاده از سیستمهایی مانند اینترنت بانک، تنها یک صفحهی باز داشته باشند و پس از پایان استفاده از این سیستمها، کاملا از سیستم خارج شوند.
بسیار عالی بود