Home » » Yêu cầu trên nhiều trang web giả mạo là gì?

Yêu cầu trên nhiều trang web giả mạo là gì?

CSRF hoặc Cross-Site Request Forgery là một lỗ hổng trang web mà kẻ tấn công có thể gây ra một hành động xảy ra trong phiên của nạn nhân trên một trang web khác. Một trong những điều khiến CSRF có nhiều rủi ro là nó thậm chí không yêu cầu sự tương tác của người dùng, tất cả những gì cần thiết là nạn nhân có thể xem một trang web có khai thác trong đó.

Mẹo: CSRF thường được phát âm từng chữ cái hoặc là “lướt sóng trên biển”.

Một cuộc tấn công CSRF hoạt động như thế nào?

Cuộc tấn công liên quan đến việc kẻ tấn công tạo ra một trang web có phương pháp thực hiện yêu cầu trên một trang web khác. Điều này có thể yêu cầu sự tương tác của người dùng, chẳng hạn như yêu cầu họ nhấn một nút, nhưng nó cũng có thể không tương tác. Trong JavaScript, có nhiều cách để khiến một hành động xảy ra tự động. Ví dụ: hình ảnh pixel 0 x 0 sẽ không hiển thị với người dùng nhưng có thể được định cấu hình để “src” của nó đưa ra yêu cầu đến một trang web khác.

JavaScript là ngôn ngữ phía máy khách, điều này có nghĩa là mã JavaScript được chạy trong trình duyệt chứ không phải trên máy chủ web. Nhờ thực tế này, máy tính thực hiện yêu cầu CSRF thực sự là của nạn nhân. Thật không may, điều này có nghĩa là yêu cầu được thực hiện với tất cả các quyền mà người dùng có. Khi trang web tấn công đã lừa nạn nhân thực hiện yêu cầu CSRF, yêu cầu về cơ bản không thể phân biệt được với người dùng thực hiện yêu cầu bình thường.

CSRF là một ví dụ về “cuộc tấn công nhầm lẫn” chống lại trình duyệt web khi trình duyệt bị kẻ tấn công lừa sử dụng các quyền của nó mà không có các đặc quyền đó. Các quyền này là phiên của bạn và mã thông báo xác thực đối với trang web mục tiêu. Trình duyệt của bạn tự động bao gồm các chi tiết này trong bất kỳ yêu cầu nào mà trình duyệt đưa ra.

Các cuộc tấn công CSRF hơi phức tạp để sắp xếp. Trước hết, trang web mục tiêu cần có một biểu mẫu hoặc URL có tác dụng phụ như xóa tài khoản của bạn. Sau đó, kẻ tấn công cần tạo ra một yêu cầu để thực hiện hành động mong muốn. Cuối cùng, kẻ tấn công cần phải khiến nạn nhân tải một trang web có khai thác trong đó khi họ đăng nhập vào trang web mục tiêu.

Để ngăn chặn các vấn đề CSRF, điều tốt nhất bạn có thể làm là bao gồm mã thông báo CSRF. Mã thông báo CSRF là một chuỗi được tạo ngẫu nhiên được đặt làm cookie, giá trị cần được bao gồm với mọi phản hồi cùng với tiêu đề yêu cầu bao gồm giá trị. Mặc dù một cuộc tấn công CSRF có thể bao gồm cookie, nhưng không có cách nào để có thể xác định giá trị của mã thông báo CSRF để đặt tiêu đề và do đó, cuộc tấn công sẽ bị từ chối.


Leave a Comment

Cách thay đổi tài khoản email của bạn trên LinkedIn

Cách thay đổi tài khoản email của bạn trên LinkedIn

Hướng dẫn chi tiết về cách thay đổi địa chỉ email liên kết với tài khoản LinkedIn của bạn, giúp bạn duy trì liên lạc hiệu quả hơn.

Tại sao Avast VPN không hoạt động?

Tại sao Avast VPN không hoạt động?

Khám phá những lý do phổ biến khiến Avast VPN không hoạt động và cách khắc phục hiệu quả để bạn có thể duy trì kết nối Internet

Cách sửa lỗi tìm nạp dữ liệu trên Facebook

Cách sửa lỗi tìm nạp dữ liệu trên Facebook

Nhiều người gặp lỗi "Tìm nạp dữ liệu trên Facebook". Bài viết này sẽ hướng dẫn bạn 7 cách khắc phục hiệu quả và tối ưu nhất.

Bạn có thể vẽ bán kính trên Google Maps không?

Bạn có thể vẽ bán kính trên Google Maps không?

Mặc dù Google Maps không hỗ trợ chức năng bán kính, nhưng bạn có thể sử dụng dịch vụ bản đồ trực tuyến như CalcMaps và Maps.ie để vẽ bán kính xung quanh một vị trí.

Sửa lỗi Facebook khi thực hiện truy vấn

Sửa lỗi Facebook khi thực hiện truy vấn

Hướng dẫn cách khắc phục lỗi "Lỗi thực hiện truy vấn" trên Facebook. Đăng xuất, xóa bộ nhớ cache và khởi động lại thiết bị là các giải pháp hiệu quả.

Cách kiểm tra độ mạnh của mật khẩu và 5 bí quyết tạo mật khẩu an toàn

Cách kiểm tra độ mạnh của mật khẩu và 5 bí quyết tạo mật khẩu an toàn

Hướng dẫn chi tiết cách kiểm tra độ mạnh của mật khẩu, các loại tấn công phổ biến, và 5 bí quyết tạo mật khẩu an toàn, dễ nhớ. Tối ưu hóa bảo mật tài khoản của bạn ngay hôm nay!

Hướng dẫn nhanh về cách tạo lời nhắc trên Google Home

Hướng dẫn nhanh về cách tạo lời nhắc trên Google Home

Lời nhắc luôn là điểm nổi bật chính của Google Home. Họ chắc chắn làm cho cuộc sống của chúng tôi dễ dàng hơn. Hãy cùng tìm hiểu nhanh về cách tạo lời nhắc trên Google Home để bạn không bao giờ bỏ lỡ việc làm việc vặt quan trọng.

Cách sao chép nội dung từ sách giáo khoa bằng Google Lens

Cách sao chép nội dung từ sách giáo khoa bằng Google Lens

Việc nhập câu trích dẫn yêu thích từ cuốn sách của bạn lên Facebook rất tốn thời gian và có nhiều lỗi. Tìm hiểu cách sử dụng Google Lens để sao chép văn bản từ sách sang thiết bị của bạn.

Sửa lỗi không tìm thấy địa chỉ DNS máy chủ trong Chrome

Sửa lỗi không tìm thấy địa chỉ DNS máy chủ trong Chrome

Đôi khi, khi đang làm việc trên Chrome, bạn không thể truy cập một số trang web nhất định và gặp lỗi “Fix Server DNS address could not be seek in Chrome”. Đây là cách bạn có thể giải quyết vấn đề.

Cách vô hiệu hóa Lời nhắc khôi phục trang trong Microsoft Edge

Cách vô hiệu hóa Lời nhắc khôi phục trang trong Microsoft Edge

Nếu bạn muốn loại bỏ thông báo Khôi phục trang trên Microsoft Edge, chỉ cần đóng trình duyệt hoặc nhấn phím Escape.