Universiteti jizzax filiali amaliy matematika fakulteti kompyuter ilmlar a dasturlashtirish kafedrasi
Yüklə 1,35 Mb. Pdf görüntüsü
|
|
12-Amaliy: CSRF xujum Saytlararo so'rovlarni qalbakilashtirish (CSRF) - bu qurbonni aldab, Web-saytga ko'zda tutilmagan so'rov yuborishni o'z ichiga olgan hujum turi. Hujum foydalanuvchining Web-sayt bilan allaqachon autentifikatsiya qilingan sessiyasidan foydalanish orqali Web-saytning foydalanuvchi brauzeriga bo'lgan ishonchidan foydalanadi. CSRF hujumlarini qanday amalga oshirish mumkinligiga bir nechta misollar: Tasdiqlanmagan so'rovlar: Zararli Web-sayt jabrlanuvchining brauzeriga tasdiqlanmagan so'rovlar yuborishi mumkin va uni aldab, jabrlanuvchi allaqachon tizimga kirgan Web-saytda ko'zda tutilmagan harakatlarni amalga oshirishi mumkin. Zararli havolalar yoki shakllarni yuborish: Zararli Web-sayt jabrlanuvchiga havola yuborishi yoki bosilganda yoki yuborilganda jabrlanuvchi allaqachon tizimga kirgan boshqa Web-saytga so‘rov yuboradigan shaklni yuborishi mumkin. Rasm teglari va JavaScript: Zararli Web-sayt jabrlanuvchi allaqachon tizimga kirgan Web- saytga so'rov yuborish uchun HTML tasvir yorlig'i yoki JavaScript-dan foydalanishi mumkin va jabrlanuvchi nomidan ko'zda tutilmagan harakatlarni amalga oshiradi. CSRF hujumlarining oldini olish uchun CSRF token tizimini joriy qilish muhim, bu har bir foydalanuvchi sessiyasi uchun yaratilgan va foydalanuvchi tomonidan qilingan har bir shakl yoki so'rovga qo'shiladigan noyob token, shu tarzda so'rov yuborilganda server tekshirishi mumkin. agar token haqiqiy bo'lsa va joriy sessiyaga tegishli bo'lsa. Bundan tashqari, serverga qilingan har qanday so'rovlar qonuniy va foydalanuvchi tomonidan mo'ljallanganligiga ishonch hosil qilish uchun ularni tasdiqlash muhimdir. Shuningdek, SameSite cookie-fayl atributidan foydalanish yaxshi amaliyot bo‘lib, u cookie- fayllarni saytlararo so‘rovlar bilan birga yuborilishining oldini oladi va shu bilan hujumdan qochadi, va har doimgidek, ma'lum zaifliklardan himoyalanish uchun barcha dasturiy ta'minotni yangilab turish muhimdir. CSRF umumiy koʻrinish. Zararli Web-sayt bilan ishlash orqali foydalanuvchini ruxsatsiz so'rovlar yuborishga majbur qiladi. Barcha kiberxavfsizlik tahdidlarining "uyqu giganti". Kimnidir pul o'tkazishga, ijtimoiy tarmoqdagi maqomini o'zgartirishga, aktsiyalarni sotib olishga yoki tajovuzkor foydalanmoqchi bo'lgan zaif Web-saytdagi boshqa harakatlarga majburlashi mumkin. Hujum namunasi: Yüklə 1,35 Mb. Dostları ilə paylaş:
|