Nano Hash - криптовалюты, майнинг, программирование

настоящая CSRF-атака?

Недавно мы обсуждали атаку CSRF. Член моей команды сказал, что следующая атака CSRF: 1. Злоумышленник отправляет жертве поддельный html-файл, который может иметь поддельный запрос, например, на кражу cookie 2. Жертва сохраняет файл 3. Жертва открывает доверенный веб-сайт, затем откройте файл html 4. Запрос файла выполняется

Он может работать в режиме погони, позволяя пользователю выйти из системы. Ниже приведен сценарий:

<!DOCTYPE html>
<html>
<body>

<p>Create a link of an image:
<a href="default.asp">
<img src="smiley.gif" alt="HTML tutorial" width="32" height="32"></a></p>

<p>No border around the image, but still a link:
<a href="https://chaseonline.chase.com/secure/LogOff.aspx">
<img border="0" src="smiley.gif" alt="HTML tutorial" width="32" height="32"></a></p>

</body>
</html>

По крайней мере, это может заставить меня успешно выйти из системы. Однако мне показалось, что это потому, что файл выполняется локально, что заставляет его работать. Если я открою настоящий вредоносный веб-сайт или страницу, это может не сработать. Может ли кто-нибудь дать мне какие-либо идеи?

Спасибо~

web-applications security csrf
13.08.2013

Ответы:


1

Хорошо, допустим, вы управляете веб-сайтом для банка. Допустим, у вас есть конечная точка, которая принимает POST запрос к https://bank.example.com/transfer с данными формы, содержащими информацию о том, на какой счет нужно перевести, и сумму денег для перевода. Конечно, вы проверите файл cookie сеанса, чтобы убедиться, что запрос исходит от пользователя с действительным сеансом.

Теперь вредоносный веб-сайт может создать форму, содержащую номер счета, на который они хотят отправить деньги, и некоторую произвольную сумму денег. Теперь все, что им нужно сделать, это опубликовать всех посетителей вредоносного сайта на https://bank.example.com/transfer. Любая жертва, которая попадает на вредоносный сайт после входа на сайт вашего банка (и получения действительного файла cookie сеанса), теперь может украсть деньги.

Стандартное исправление для этой атаки состоит в том, чтобы потребовать от всех конечных точек, которые вызывают важное изменение состояния, также предоставить случайный одноразовый секретный ключ, который является отдельным для кэша файлов cookie пользователя (обычно включает ваш веб-сайт на странице, которую вы ожидаете). исходящий запрос).

14.08.2013

2

Позвольте мне также взять классический пример атаки CSRF, когда злоумышленник обманом заставляет жертву перевести деньги на свой счет, при условии, что у жертвы есть активная сессия с банком. Эта атака требует, чтобы запрос POST был отправлен от имени жертвы, пока у нее есть законный сеанс связи с банком. Злоумышленник может заставить жертву посетить страницу, содержащую следующий HTML-код:

<html>
<body>
      <form name="hack_form" action="http://CrapyBank.com/csrf.php?menu=400&TransferFunds=4000" method="POST">
          <input type="hidden" name="hack_param" value="hack">
      </form>
      <script type="text/javascript">document.hack_form.submit();</script>
</body>
</html>
19.04.2015
Новые материалы
Кластеризация: более глубокий взгляд
Кластеризация — это метод обучения без учителя, в котором мы пытаемся найти группы в наборе данных на основе некоторых известных или неизвестных свойств, которые могут существовать. Независимо от..
Как написать эффективное резюме
Предложения по дизайну и макету, чтобы представить себя профессионально Вам не позвонили на собеседование после того, как вы несколько раз подали заявку на работу своей мечты? У вас может..
Частный метод Python: улучшение инкапсуляции и безопасности
Введение Python — универсальный и мощный язык программирования, известный своей простотой и удобством использования. Одной из ключевых особенностей, отличающих Python от других языков, является..
Как я автоматизирую тестирование с помощью Jest
Шутка для победы, когда дело касается автоматизации тестирования Одной очень важной частью разработки программного обеспечения является автоматизация тестирования, поскольку она создает..
Работа с векторными символическими архитектурами, часть 4 (искусственный интеллект)
Hyperseed: неконтролируемое обучение с векторными символическими архитектурами (arXiv) Автор: Евгений Осипов , Сачин Кахавала , Диланта Хапутантри , Тимал Кемпития , Дасвин Де Сильва ,..
Понимание расстояния Вассерштейна: мощная метрика в машинном обучении
В обширной области машинного обучения часто возникает необходимость сравнивать и измерять различия между распределениями вероятностей. Традиционные метрики расстояния, такие как евклидово..
Обеспечение масштабируемости LLM: облачный анализ с помощью AWS Fargate и Copilot
В динамичной области искусственного интеллекта все большее распространение получают модели больших языков (LLM). Они жизненно важны для различных приложений, таких как интеллектуальные..