You are here
Home > Arhiva > CSRF napadi

CSRF napadi

CSRF (eng. Cross-Site Request Forgery) je napad kod kojeg napadač u ime ovlaštenog korisnika pristupa nekom web odredištu. Pritom se iskorištava ranjivost stranice koja ne provjerava izvor HTTP zahtjeva prije nego ga obradi i izvede. Osim pogreške u web stranici, iskorištava se i web preglednik korisnika u kojem je zapamćena prethodna prijava korisnika na ranjivu stranicu. CSRF se može izvoditi podmetanjem HTTP zahtjeva u HTML objekte te podmetanjem zloćudnog skriptnog koda. Ovim napadom može se iskorištavati i nepoštivanje pravila o istom izvoru i odredištu zahtjeva u web pregledniku. U tom slučaju automatski se pokreće slanje HTTP zahtjeva, učitanog s jednog web odredišta, drugom web odredištu, bez znanja korisnika. Mogućnosti izvođenja ovog napada su široke, moguće posljedice uspješne zlouporabe još i šire. Svaka aktivnost koja se može pokrenuti preko URL zahtjeva može se pokrenuti i preko CSRF napada. Budući da napad podrazumijeva pristup korisničkom računu legitimnog korisnika, nije tako lako izvediv. U dokumentu su opisana svojstva CSRF napada, metode izvođenja te povezanosti s drugim ranjivostima kao što je XSS. Osim toga predložen je i skup mjera prevencije i zaštite, kako sa strane poslužitelja tako i sa strane korisnika.

NCERT-PUBDOC-2010-04-297

Top
More in Arhiva
CSRF napadi

CSRF (eng. Cross-Site Request Forgery) je napad kod kojeg napadač u ime ovlaštenog korisnika pristupa nekom web odredištu. Pritom se...

Close