ثغرات  CSRF او كما يطلق عليها including XSRF أو Sea Surf أو Session Riding أو Cross-Site Reference Forgery كما اطلقت عليها شركة ميكروسوفت اسم One-Click attack عباره عن ثغرات تشبه فى عملها الى حد كبير فكرة عمل ثغرات Stored XSS ولكن الاختلاف فى CSRF هو امكانية خداع تطبيق الويب و سرقة cookies المستخدم أو تعديل البيانات فى لوحة التحكم أو حتى ارسال e-cards وعمل shopping!

لاكتشاف هذا النوع من الثغرات بامكاننا استخدام برنامج CSRFTester.

الفيديو:

طريقة الحماية:

لحماية تطبيق الويب من هذا النوع من الهجمات يجب الاعتماد على CSRF token وهى عباره عن الحاق الـform بـkey مزوده من السيرفر تعتمد على جلسة المستخدم وكلمه سريه يتم ارسالها مع request و يجب ان تعود للسيرفر مره اخرى مع response , بما أن Request مزود بالكلمه السريه لن يستطيع المهاجم من توليد token صحيح الا عن طريق هجوم MITM.

لتحميل أداة CSRFTester: CSRFTester-1.0

عن الكاتب:

أحمد العنتري, طالب فى هندسه قسم حاسبات وتحكم بأكادمية السلاب. مبرمج بايثون أستخدم لينوكس كنظام أساسي وأحب الحمايه ومعرفة وسائل الاختراق المختلفة.

التعليقات (13)

تشكر على الشرح
أرسلت بواسطة: SyRiAn_34G13 في December 07, 2010

شرح وافي وفقك الله و رعاك و الثغرة معروفة و سهلة التطبيق
تحياتي لك .

• 
• +0
• 
• 

شكرا
أرسلت بواسطة: عبدالملك في December 08, 2010

شكرا أخي أحمد،ولكن كيف نستطيع عملها على الواقع؟
بمعنى آخر،كيف أكتشف وجود الثغرة في موقع ما؟

• 
• +0
• 
• 

...
أرسلت بواسطة: أحمد العنترى في December 08, 2010

يمكنك اكتشاف الثغره لو لاحظت ان تطبيق الويب يؤدى عدة دوال باستخدام نفس العنوان
وتبدا تشك اكتر لو كان الاستعلام ب GET مش POST
مع العلم ان لو الموقع بيستخدم POST فقط ممكن يكون مصاب ايضا
وهنا فايدة البرنامج اللى اتكلمنا عليه
المفروض ان الوظيفه الاساسيه للبرنامج اكتشاف الثغرات مش الاستغلال

• 
• +1
• 
• 

ممممممممممممممممممممم
أرسلت بواسطة: بول معوشي في December 08, 2010

طيب يعني ممكن نغير الباسوورد بدون ما نعمل login او لازم نسجل قيل؟؟

• 
• +0
• 
• 

...
أرسلت بواسطة: أحمد العنترى في December 08, 2010

مش شرط التسجيل فى حالة ال stored csrf
بس معظم ثغرات ال csrf اللى مرت عليه كان لازم التسجيل لاستغلالها

• 
• +1
• 
• 

ممممممممممممممم
أرسلت بواسطة: بول معوشي في December 09, 2010

طيب اذا مطلوب نعمل login اذا ممكن نغير الباسوورد بدون استغلال الثغرة
صحيح؟؟

• 
• +1
• 
• 

...
أرسلت بواسطة: أحمد العنترى في December 09, 2010

مش شرط انك تضيف حساب
ممكن تغير فى معلومات على ال database مش مسموح للمستخدم انه يغيرها
تخيل ان فى تطبيق مصاب بالثغره على موقع بنكى
انت ممكن تضيف على حسابك او انك تمسح حساب من قاعدة البيانات

• 
• +0
• 
• 

مممممممممممم
أرسلت بواسطة: بول معوشي في December 12, 2010

اوك شكرا" للمساعدة :D

• 
• +0
• 
• 

...
أرسلت بواسطة: good hacker في January 03, 2011

انا فى معهد كمبيوتر تابع لكليه علوم المنصوره ارجو مقابلتك بجد حتى استفيد من خبرتك

• 
• +0
• 
• 

...
أرسلت بواسطة: teto2005 في February 03, 2011

سلام عليكم
أنا كنت بحاول أنزل الأداة دى على لينكس فيودورا بس مش عارف ممكن تقول نزلته الزاى؟
شكراً

• 
• +1
• 
• 

...
أرسلت بواسطة: أحمد العنترى في February 03, 2011

teto2005:الرابط للتنزيل http://www.owasp.org/images/0/...er-1.0.zip
تاكد من وجود الجافا على التوزيعه باستخدام java -version
لو مش موجوده نزلها من هنا:
http://www.java.com/en/download/linux_manual.jsp?locale=en&host=www.java.com
و صطبها

good hacker:للاسف انا فى المحله دلوقتى و فاقرب فرصه ان شاء الله نتقابل فى الجامعه

• 
• +1
• 
• 

..يآ سلام عليك ..
أرسلت بواسطة: GeNeRaLs في August 22, 2011

والله كفؤ ..
ثغرة جميله ..ولكن آستغلالها لازم يكون صحيح .. لانه اي خطأ فيه ..يؤدي بالمستخدم في مشكلة ..مراقبة حكومية ..إذا كان الاستهداف على حكومي او قطاع خاص مثل البنوك

..هذا والله أعلم ..

• 
• +0
• 
• 

bac
أرسلت بواسطة: عبد الباسط في March 08, 2012

ثغره قويه جدا

• 
• +1
• 
•