Universiteti jizzax filiali amaliy matematika fakulteti kompyuter ilmlar a dasturlashtirish kafedrasi
Yüklə 1,35 Mb. Pdf görüntüsü
|
- Bu səhifədəki naviqasiya:
- CSRF imzosini aniqlash
|
src ="http://shiflett.org/csrf.php?csrf=http%3A%2F%2Fcsrf.missouri.edu%2Fmake_trade.p hp&stockSymbol=GOOG&numShares=500&buyOrsell=buy" /> Ushbu hujum Chris Shiflettning CSRF Redirector-dan foydalanadi. CSRF qayta yo'naltiruvchisi zaif Web-saytdagi maqsadli dasturga yuboriladigan barcha kerakli ma'lumotlarga ega shakl yaratadi. Referer Maxfiylik himoyasi: Brauzer tarixini buzadigan Firefox kengaytmasi Ko'proq foydalanuvchilarni Referer sarlavhalarini yuborishga undaydi Foydalanuvchining koʻrish tarixidan tasodifiy URL manzillariga “axlat” soʻrovlarini yuboradi http://sourceforge.net/projects/refererprivacyg/ Bizning kengaytmamiz SourceForge-da yuklab olish mumkin Ishlab chiquvchilar uchun SVN ombori o'rnatildi CSRF imzosini aniqlash: Sahifa tarkibini sinov muhitida ko'rib chiqing Kontent tekshirilmaguncha holatni o'zgartirish so'rovlariga ruxsat bermang Chuqur havolalarni toping va manzillar panelidagi URL bilan solishtiring Foydalanuvchilarga domen juftlarini oq roʻyxatga olishga ruxsat bering Bog'langan tarkibni oldindan ko'rish - tasvirlar, iframes Shakllarni faqat "yashirin" kirishlar bilan bloklash Agar foydalanuvchi ma'qullamasa, o'z-o'zidan yuboriladigan shakllarni bloklash CSRF nima? Web-sayt mijoz tomoni va server tomoniga ega. Web-sahifalar, mijoz tomoni shakllari. Server tomoni foydalanuvchi harakat qilganda harakatni amalga oshiradi. Server qismi boshqa saytlardan ham so'rovlarni qabul qiladi. CSRF hujumi foydalanuvchini uchinchi tomon saytidagi sahifa yoki skript bilan ishlashga majbur qiladi. U foydalanuvchining Web-saytiga zararli so'rovni yaratadi. Ammo server buni vakolatli sayt so'rovi deb hisoblaydi. Foydalanuvchi uni qabul qilganda, tajovuzkor so'rovda yuborilgan ma'lumotlarni nazorat qilishi mumkin. Bir misol quyidagicha. Foydalanuvchi o'z bank hisobiga kiradi. Bank unga seans tokenini beradi. Xaker bankka ishora qiluvchi soxta havolani bosish orqali foydalanuvchini aldashi mumkin. Foydalanuvchi havolani bosganida, ular avvalgi seans tokenidan foydalanadilar. Keyin xakerning so'rovi amalga oshiriladi va foydalanuvchining akkaunti buziladi. U o'z hisobidan pul o'tkazishi mumkin. Bank so‘rovi soxta, chunki u bir xil foydalanuvchi sessiyasi tokenidan foydalanadi. Umuman olganda, Web-saytni ishlab chiqishda Web-saytni CSRF hujumlaridan qanday himoya qilishni bilish muhimdir. XSS va CSRF o'rtasidagi farq nima? XSS "Cross Site Scripting" degan ma'noni anglatadi va CSRF "Cross Site Request Forgery" degan ma'noni anglatadi. XSS - bu Internet ilovalaridagi kompyuter xavfsizligi zaifligi bo'lib, xakerlarga Web-resursga tashrif buyuruvchilar tomonidan ko'riladigan Internet sahifalariga mijoz tomonidagi skriptlarni kiritish imkonini beradi. CSRF foydalanuvchi Web-ilovasi ishonadigan ruxsatsiz buyruqlarni uzatuvchi xaker yoki Web-sayt tomonidan amalga oshiriladigan zararli faoliyat turidir. Bundan tashqari, XSS zararli kod yozish uchun JavaScript- ni talab qiladi, CSRF esa JavaScript-ni talab qilmaydi. XSSda sayt zararli kodni qabul qiladi, CSRFda esa zararli kod uchinchi tomon saytlarida saqlanadi. Bu XSS va CSRF o'rtasidagi asosiy farq. Odatda XSS hujumiga zaif bo'lgan sayt CSRF hujumiga ham zaifdir. Biroq, XSS bilan himoyalangan sayt hali ham CSRF hujumlariga qarshi himoyasiz bo'lishi mumkin. Xulosa - XSS va CSRF XSS va CSRF - bu Web-saytga hujumlarning ikki turi. XSS "Cross Site Scripting" degan ma'noni anglatadi va CSRF "Cross Site Request Forgery" degan ma'noni anglatadi. XSS va CSRF o'rtasidagi farq shundaki, XSSda sayt zararli kodni oladi, CSRFda esa zararli kod uchinchi tomon saytlarida saqlanadi. |