Ishlab chiquvchilar uchun SVN ombori o'rnatildi
CSRF imzosini aniqlash:
Sahifa tarkibini sinov muhitida ko'rib chiqing
Kontent tekshirilmaguncha holatni o'zgartirish so'rovlariga ruxsat
bermang
Chuqur havolalarni toping va manzillar panelidagi URL bilan solishtiring
Foydalanuvchilarga domen juftlarini oq roʻyxatga olishga ruxsat bering
Bog'langan tarkibni oldindan ko'rish - tasvirlar, iframes
Shakllarni faqat "yashirin" kirishlar
bilan bloklash
Agar foydalanuvchi ma'qullamasa, o'z-o'zidan yuboriladigan shakllarni bloklash
CSRF nima?
Web-sayt mijoz tomoni va server tomoniga ega. Web-sahifalar, mijoz tomoni shakllari. Server
tomoni foydalanuvchi harakat qilganda harakatni amalga oshiradi. Server qismi boshqa
saytlardan ham so'rovlarni qabul qiladi.
CSRF hujumi foydalanuvchini uchinchi tomon saytidagi sahifa
yoki skript bilan ishlashga
majbur qiladi. U foydalanuvchining Web-saytiga zararli so'rovni yaratadi. Ammo server buni
vakolatli sayt so'rovi deb hisoblaydi. Foydalanuvchi uni qabul qilganda, tajovuzkor so'rovda
yuborilgan ma'lumotlarni nazorat qilishi mumkin.
Bir misol quyidagicha. Foydalanuvchi o'z bank hisobiga kiradi.
Bank unga seans tokenini
beradi. Xaker bankka ishora qiluvchi soxta havolani bosish orqali foydalanuvchini aldashi
mumkin. Foydalanuvchi havolani bosganida, ular avvalgi seans tokenidan foydalanadilar. Keyin
xakerning so'rovi amalga oshiriladi va foydalanuvchining akkaunti buziladi. U o'z hisobidan pul
o'tkazishi mumkin. Bank so‘rovi soxta, chunki u bir xil foydalanuvchi sessiyasi tokenidan
foydalanadi.
Umuman olganda, Web-saytni ishlab chiqishda Web-saytni CSRF hujumlaridan
qanday himoya qilishni bilish muhimdir.
XSS va CSRF o'rtasidagi farq nima?
XSS "Cross Site Scripting" degan ma'noni anglatadi va CSRF "Cross Site Request Forgery"
degan ma'noni anglatadi. XSS - bu Internet ilovalaridagi kompyuter xavfsizligi zaifligi bo'lib,
xakerlarga Web-resursga tashrif buyuruvchilar tomonidan ko'riladigan Internet sahifalariga
mijoz tomonidagi skriptlarni kiritish imkonini beradi. CSRF
foydalanuvchi Web-ilovasi
ishonadigan ruxsatsiz buyruqlarni uzatuvchi xaker yoki Web-sayt tomonidan amalga
oshiriladigan zararli faoliyat turidir. Bundan tashqari, XSS zararli kod yozish uchun JavaScript-
ni talab qiladi, CSRF esa JavaScript-ni talab qilmaydi.
XSSda sayt
zararli kodni qabul qiladi, CSRFda esa zararli kod uchinchi tomon saytlarida
saqlanadi. Bu XSS va CSRF o'rtasidagi asosiy farq. Odatda XSS hujumiga zaif bo'lgan sayt
CSRF hujumiga ham zaifdir. Biroq, XSS bilan himoyalangan sayt hali ham CSRF hujumlariga
qarshi himoyasiz bo'lishi mumkin.
Xulosa - XSS va CSRF
XSS va CSRF - bu Web-saytga hujumlarning ikki turi. XSS "Cross Site Scripting"
degan
ma'noni anglatadi va CSRF "Cross Site Request Forgery" degan ma'noni anglatadi. XSS va
CSRF o'rtasidagi farq shundaki,
XSSda sayt zararli kodni oladi, CSRFda esa zararli kod uchinchi
tomon saytlarida saqlanadi.