ثغرات  CSRF او كما يطلق عليها including XSRF أو Sea Surf أو Session Riding أو Cross-Site Reference Forgery كما اطلقت عليها شركة ميكروسوفت اسم One-Click attack عباره عن ثغرات تشبه فى عملها الى حد كبير فكرة عمل ثغرات Stored XSS ولكن الاختلاف فى CSRF هو امكانية خداع تطبيق الويب و سرقة cookies المستخدم أو تعديل البيانات فى لوحة التحكم أو حتى ارسال e-cards وعمل shopping!

 

لاكتشاف هذا النوع من الثغرات بامكاننا استخدام برنامج CSRFTester.

 

الفيديو:


 

طريقة الحماية:

لحماية تطبيق الويب من هذا النوع من الهجمات يجب الاعتماد على CSRF token وهى عباره عن الحاق الـform بـkey مزوده من السيرفر تعتمد على جلسة المستخدم وكلمه سريه يتم ارسالها مع request و يجب ان تعود للسيرفر مره اخرى مع response , بما أن Request مزود بالكلمه السريه لن يستطيع المهاجم من توليد token صحيح الا عن طريق هجوم MITM.

لتحميل أداة CSRFTester: CSRFTester-1.0

 

عن الكاتب:


أحمد العنتري, طالب فى هندسه قسم حاسبات وتحكم بأكادمية السلاب. مبرمج بايثون أستخدم لينوكس كنظام أساسي وأحب الحمايه ومعرفة وسائل الاختراق المختلفة.

 

 

Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedIn