Universiteti jizzax filiali amaliy matematika fakulteti kompyuter ilmlar a dasturlashtirish kafedrasi



Yüklə 1,35 Mb.
Pdf görüntüsü
səhifə26/33
tarix02.06.2023
ölçüsü1,35 Mb.
#123007
1   ...   22   23   24   25   26   27   28   29   ...   33
KIBERXAVFSIZLIK

 
12-Amaliy: CSRF xujum 
Saytlararo so'rovlarni qalbakilashtirish (CSRF) - bu qurbonni aldab, Web-saytga ko'zda 
tutilmagan so'rov yuborishni o'z ichiga olgan hujum turi. Hujum foydalanuvchining Web-sayt 
bilan allaqachon autentifikatsiya qilingan sessiyasidan foydalanish orqali Web-saytning 
foydalanuvchi brauzeriga bo'lgan ishonchidan foydalanadi. CSRF hujumlarini qanday amalga 
oshirish mumkinligiga bir nechta misollar: 
Tasdiqlanmagan so'rovlar: Zararli Web-sayt jabrlanuvchining brauzeriga tasdiqlanmagan 
so'rovlar yuborishi mumkin va uni aldab, jabrlanuvchi allaqachon tizimga kirgan Web-saytda 
ko'zda tutilmagan harakatlarni amalga oshirishi mumkin. 
Zararli havolalar yoki shakllarni yuborish: Zararli Web-sayt jabrlanuvchiga havola yuborishi 
yoki bosilganda yoki yuborilganda jabrlanuvchi allaqachon tizimga kirgan boshqa Web-saytga 
so‘rov yuboradigan shaklni yuborishi mumkin. 
Rasm teglari va JavaScript: Zararli Web-sayt jabrlanuvchi allaqachon tizimga kirgan Web-
saytga so'rov yuborish uchun HTML tasvir yorlig'i yoki JavaScript-dan foydalanishi mumkin va 
jabrlanuvchi nomidan ko'zda tutilmagan harakatlarni amalga oshiradi. 
CSRF hujumlarining oldini olish uchun CSRF token tizimini joriy qilish muhim, bu har bir 
foydalanuvchi sessiyasi uchun yaratilgan va foydalanuvchi tomonidan qilingan har bir shakl yoki 
so'rovga qo'shiladigan noyob token, shu tarzda so'rov yuborilganda server tekshirishi mumkin. 
agar token haqiqiy bo'lsa va joriy sessiyaga tegishli bo'lsa. Bundan tashqari, serverga qilingan 
har qanday so'rovlar qonuniy va foydalanuvchi tomonidan mo'ljallanganligiga ishonch hosil 
qilish uchun ularni tasdiqlash muhimdir. 
Shuningdek, SameSite cookie-fayl atributidan foydalanish yaxshi amaliyot bo‘lib, u cookie-
fayllarni saytlararo so‘rovlar bilan birga yuborilishining oldini oladi va shu bilan hujumdan 
qochadi, va har doimgidek, ma'lum zaifliklardan himoyalanish uchun barcha dasturiy ta'minotni 
yangilab turish muhimdir. 


CSRF umumiy koʻrinish. 
 
Zararli Web-sayt bilan ishlash orqali foydalanuvchini ruxsatsiz so'rovlar yuborishga 
majbur qiladi. 
 
Barcha kiberxavfsizlik tahdidlarining "uyqu giganti". 
 
Kimnidir pul o'tkazishga, ijtimoiy tarmoqdagi maqomini o'zgartirishga, aktsiyalarni sotib 
olishga yoki tajovuzkor foydalanmoqchi bo'lgan zaif Web-saytdagi boshqa harakatlarga 
majburlashi mumkin. 
Hujum namunasi: 
 

Yüklə 1,35 Mb.

Dostları ilə paylaş:
1   ...   22   23   24   25   26   27   28   29   ...   33




Verilənlər bazası müəlliflik hüququ ilə müdafiə olunur ©azkurs.org 2024
rəhbərliyinə müraciət

gir | qeydiyyatdan keç
    Ana səhifə


yükləyin