جعل درخواست بین‌سایتی

CSRF اصلا چیه؟

خلاصه در یه جمله: وقتی هکر بتونه کاری کنه که تو ناخودآگاه یه کاری رو تو سایت انجام بدی (مثل انتقال پول، تغییر پسورد) در حالی که خبر نداری!

فرض کن تو بانک لاگین کردی و رفتی یه سایت دیگه. اون سایت یه کد مخرب داره که به صورت خودکار یه درخواست انتقال پول به حساب هکر می‌فرسته به بانک. بانک فکر می‌کنه تو درخواست دادی (چون لاگین هستی) و پول رو انتقال می‌ده! این یعنی CSRF.

چطور کار می‌کنه؟

۱. تو وارد سایت بانک می‌شی (لاگین می‌کنی) ۲. Session Cookie تو مرورگرت ذخیره می‌شه ۳. می‌ری یه سایت دیگه (که هکر کنترلش می‌کنه) ۴. اون سایت یه درخواست مخرب به بانک می‌فرسته ۵. مرورگرت Cookie رو خودکار ضمیمه می‌کنه ۶. بانک فکر می‌کنه تو درخواست دادی و اجرا می‌کنه!

مثال CSRF:

هکر یه صفحه می‌سازه با این کد:

html

1<img src="https://bank.com/transfer?to=hacker&amount=1000" style="display:none">

وقتی تو (که لاگین هستی به بانک) این صفحه رو باز می‌کنی، مرورگرت این درخواست رو می‌فرسته به بانک و پول انتقال پیدا می‌کنه!

چرا برای امنیت مهمه؟

چون CSRF می‌تونه منجر به انجام هر کاری به نام کاربر بشه — انتقال پول، تغییر پسورد، تغییر ایمیل، حذف اکانت. کاربر هیچوقت نمی‌فهمه چی شده!

CSRF اصلا چیه؟

هکر یه صفحه می‌سازه با این کد:

html

1<img src="https://bank.com/transfer?to=hacker&amount=1000" style="display:none">

جعل درخواست بین‌سایتی(CSRF)

CSRF اصلا چیه؟

چطور کار می‌کنه؟

مثال CSRF:

چرا برای امنیت مهمه؟

منابع و مراجع

جعل درخواست بین‌سایتی(CSRF)

CSRF اصلا چیه؟

چطور کار می‌کنه؟

مثال CSRF:

چرا برای امنیت مهمه؟

منابع و مراجع

منابع و مراجع

مفاهیم مرتبط

اسکریپت‌نویسی بین‌سایتی(XSS)

نشست(N/A)

منابع و مراجع

مفاهیم مرتبط

اسکریپت‌نویسی بین‌سایتی(XSS)

نشست(N/A)