Bron

Leestijd 3 min

Zoals ik in de vorige artikelen al heb vermeld, zijn er veel aanvallen uit te voeren op websites en CSRF-aanval is er daar één van. Bekijk artikelen over SQL injectie hier en Cross site scripting hier Maak je klaar om te weten wat het is en hoe het te gebruiken en hoe het te voorkomen. Laten we er in gaan... Het stuurt een gevalideerde client, het slachtoffer, een gefabriceerd HTTP verzoek. Een CSRF-zwakte stelt een aanvaller in staat een aangemelde klant te dwingen een dwingende activiteit uit te voeren zonder zijn toestemming of medeweten. Het is wat je net zo goed een agressor kunt noemen die het merkteken van een slachtoffer op een vitaal rapport zet. Bovendien is er geen bewijs voor de aanval, aangezien een gemodelleerde vordering het grootste deel van de gegevens bevat en afkomstig is van een soortgelijk IP-adres als een echte vordering van een slachtoffer. Elke toepassing die een klant in staat stelt gegevens te verzenden of op te vragen, is een potentiële concentratie voor een aanvaller. Het volgende is een samenvatting van mogelijke toepassingen van CSRF: - Handel geld te beginnen met een monetaire aanpassing dan op de volgende. - Gebruik een inhoudelijke organisatiestructuur om inhoud van een site op te nemen/te verwijderen. Om dit te doen gebruik ik DVWA 1.Open DVWA en mijn standaard gebruikersnaam en geheime sleutel is administrator en wachtwoord 3.Ga nu naar het CSRF Tabblad dat beschikbaar is in de linkerhelft van het plaatje 4.In de CSRF Tab, kunnen we twee tabbladen zien Laten we nu het geheime woord veranderen in 12345 (uw wens).

10 dagen geleden - hackeroyale.com

Korte versie

Dit artikel bevat een overzicht van de mogelijke toepassingen van Cross-site request forgery (CSRF)-aanvallen op websites.

Uitgebreide versie

Een CSRF-zwakte stelt een aanvaller in staat een aangemelde klant te dwingen een dwingende activiteit uit te voeren zonder zijn toestemming of medeweten. Bovendien is er geen bewijs voor de aanval, aangezien een gemodelleerde vordering het grootste deel van de gegevens bevat en afkomstig is van een soortgelijk IP-adres als een echte vordering van een slachtoffer. Elke toepassing die een klant in staat stelt gegevens te verzenden of op te vragen, is een potentiële concentratie voor een aanvaller.

Vergelijkbare publicaties

In het artikel genoemde namen van organisaties

article image