Universiteti jizzax filiali amaliy matematika fakulteti kompyuter ilmlar a dasturlashtirish kafedrasi



Yüklə 1,35 Mb.
Pdf görüntüsü
səhifə27/33
tarix02.06.2023
ölçüsü1,35 Mb.
#123007
1   ...   23   24   25   26   27   28   29   30   ...   33
KIBERXAVFSIZLIK


src 
="http://shiflett.org/csrf.php?csrf=http%3A%2F%2Fcsrf.missouri.edu%2Fmake_trade.p
hp&stockSymbol=GOOG&numShares=500&buyOrsell=buy" /> 
 
Ushbu hujum Chris Shiflettning CSRF Redirector-dan foydalanadi. CSRF qayta 
yo'naltiruvchisi zaif Web-saytdagi maqsadli dasturga yuboriladigan barcha kerakli ma'lumotlarga 
ega shakl yaratadi. 
Referer Maxfiylik himoyasi: 
 
Brauzer tarixini buzadigan Firefox kengaytmasi 
 
Ko'proq foydalanuvchilarni Referer sarlavhalarini yuborishga undaydi 
 
Foydalanuvchining koʻrish tarixidan tasodifiy URL manzillariga “axlat” soʻrovlarini 
yuboradi 
 
http://sourceforge.net/projects/refererprivacyg/ 
 
Bizning kengaytmamiz SourceForge-da yuklab olish mumkin 


 
Ishlab chiquvchilar uchun SVN ombori o'rnatildi 
CSRF imzosini aniqlash: 
 
Sahifa tarkibini sinov muhitida ko'rib chiqing 
 
Kontent tekshirilmaguncha holatni o'zgartirish so'rovlariga ruxsat bermang 
 
Chuqur havolalarni toping va manzillar panelidagi URL bilan solishtiring 
 
Foydalanuvchilarga domen juftlarini oq roʻyxatga olishga ruxsat bering 
 
Bog'langan tarkibni oldindan ko'rish - tasvirlar, iframes 
 
Shakllarni faqat "yashirin" kirishlar bilan bloklash 
 
Agar foydalanuvchi ma'qullamasa, o'z-o'zidan yuboriladigan shakllarni bloklash 
CSRF nima? 
Web-sayt mijoz tomoni va server tomoniga ega. Web-sahifalar, mijoz tomoni shakllari. Server 
tomoni foydalanuvchi harakat qilganda harakatni amalga oshiradi. Server qismi boshqa 
saytlardan ham so'rovlarni qabul qiladi. 
CSRF hujumi foydalanuvchini uchinchi tomon saytidagi sahifa yoki skript bilan ishlashga 
majbur qiladi. U foydalanuvchining Web-saytiga zararli so'rovni yaratadi. Ammo server buni 
vakolatli sayt so'rovi deb hisoblaydi. Foydalanuvchi uni qabul qilganda, tajovuzkor so'rovda 
yuborilgan ma'lumotlarni nazorat qilishi mumkin. 
Bir misol quyidagicha. Foydalanuvchi o'z bank hisobiga kiradi. Bank unga seans tokenini 
beradi. Xaker bankka ishora qiluvchi soxta havolani bosish orqali foydalanuvchini aldashi 
mumkin. Foydalanuvchi havolani bosganida, ular avvalgi seans tokenidan foydalanadilar. Keyin 
xakerning so'rovi amalga oshiriladi va foydalanuvchining akkaunti buziladi. U o'z hisobidan pul 
o'tkazishi mumkin. Bank so‘rovi soxta, chunki u bir xil foydalanuvchi sessiyasi tokenidan 
foydalanadi. Umuman olganda, Web-saytni ishlab chiqishda Web-saytni CSRF hujumlaridan 
qanday himoya qilishni bilish muhimdir. 
XSS va CSRF o'rtasidagi farq nima? 
XSS "Cross Site Scripting" degan ma'noni anglatadi va CSRF "Cross Site Request Forgery" 
degan ma'noni anglatadi. XSS - bu Internet ilovalaridagi kompyuter xavfsizligi zaifligi bo'lib, 
xakerlarga Web-resursga tashrif buyuruvchilar tomonidan ko'riladigan Internet sahifalariga 
mijoz tomonidagi skriptlarni kiritish imkonini beradi. CSRF foydalanuvchi Web-ilovasi 
ishonadigan ruxsatsiz buyruqlarni uzatuvchi xaker yoki Web-sayt tomonidan amalga 
oshiriladigan zararli faoliyat turidir. Bundan tashqari, XSS zararli kod yozish uchun JavaScript-
ni talab qiladi, CSRF esa JavaScript-ni talab qilmaydi. 
XSSda sayt zararli kodni qabul qiladi, CSRFda esa zararli kod uchinchi tomon saytlarida 
saqlanadi. Bu XSS va CSRF o'rtasidagi asosiy farq. Odatda XSS hujumiga zaif bo'lgan sayt 
CSRF hujumiga ham zaifdir. Biroq, XSS bilan himoyalangan sayt hali ham CSRF hujumlariga 
qarshi himoyasiz bo'lishi mumkin. 
Xulosa - XSS va CSRF 
XSS va CSRF - bu Web-saytga hujumlarning ikki turi. XSS "Cross Site Scripting" degan 
ma'noni anglatadi va CSRF "Cross Site Request Forgery" degan ma'noni anglatadi. XSS va 
CSRF o'rtasidagi farq shundaki, XSSda sayt zararli kodni oladi, CSRFda esa zararli kod uchinchi 
tomon saytlarida saqlanadi. 



Yüklə 1,35 Mb.

Dostları ilə paylaş:
1   ...   23   24   25   26   27   28   29   30   ...   33




Verilənlər bazası müəlliflik hüququ ilə müdafiə olunur ©azkurs.org 2024
rəhbərliyinə müraciət

gir | qeydiyyatdan keç
    Ana səhifə


yükləyin