Cross-Site Request Forgery (CSRF) on yksi vanhimmista tavoista hyödyntää verkkosivuston haavoittuvuuksia. Se kohdistaa palvelinpuolen verkkokytkimiin, jotka yleensä edellyttävät todennuksia, kuten sisäänkirjautumista. CSRF-hyökkäyksen aikana hyökkääjä pyrkii pakottamaan uhrinsa tekemään luvattoman, haitallisen verkkopyynnön heidän puolestaan.
Heikko tai huono verkkosivuston suojauskäytäntö ja huolimattomuus käyttäjän tiellä ovat yleisiä syitä onnistuneeseen CSRF-hyökkäykseen.
Katsotaanpa, mikä CSRF-hyökkäys on, ja mahdollisia tapoja, joilla voit estää itsesi siitä kehittäjänä tai käyttäjänä.
Kuinka CSRF-hyökkäykset vaikuttavat sinuun?
CSRF on hyökkäys, jota käytetään luvattomien pyyntöjen toteuttamiseen verkkotoimintojen aikana, jotka edellyttävät käyttäjän kirjautumista tai todennusta. CSRF-hyökkäykset voivat hyödyntää istuntotunnuksia, evästeitä ja muita palvelimiin perustuvia haavoittuvuuksia käyttäjän tunnistetietojen varastamiseen.
Esimerkiksi CSRF-vastaisten menettelyjen käyttöönotto estää verkkotunnusten välisen haitallisen vuorovaikutuksen.
Kun este poistuu, hyökkääjä voi nopeasti hyödyntää käyttäjän istuntotunnusta käyttäjän selaimen luomien evästeiden avulla ja upottaa komentotunnisteen haavoittuvalle verkkosivustolle.
Manipuloimalla tunnusta hyökkääjä voi myös ohjata kävijöitä toiselle verkkosivulle tai hyödyntää sitä sosiaalisen suunnittelun menetelmät kuten sähköposti lähettää linkkejä, kannustamalla uhria lataamaan haittaohjelmia.
Opi, miten sosiaalinen suunnittelu voi vaikuttaa sinuun, sekä yleisiä esimerkkejä, joiden avulla voit tunnistaa nämä järjestelmät ja pysyä turvassa niistä.
Kun uhri suorittaa tällaiset toimet, se lähettää HTTP-pyynnön käyttäjän palvelusivulle ja valtuuttaa pyynnön hyökkääjän hyväksi. Se voi olla tuhoisaa epäilemättömälle käyttäjälle.
Onnistunut CSRF-hyökkäys voi saada valtuutetut käyttäjät menettämään hyökkääjän käyttöoikeustiedot etenkin palvelinpohjaisten toimintojen, kuten salasanan tai käyttäjänimen vaihtopyyntöjen aikana. Pahemmissa tilanteissa hyökkääjä ottaa koko istunnon haltuunsa ja toimii käyttäjien puolesta.
CSRF: ää on käytetty kaappaamaan verkon kautta tapahtuvia rahansiirtoja sekä vaihtamaan käyttäjänimiä ja salasanoja, mikä johtaa käyttäjien menettämiseen pääsyyn kyseiseen palveluun.
Kuinka hyökkääjät kaappaavat istuntosi CSRF: n avulla: Esimerkkejä
CSRF-hyökkäysten pääkohteet ovat verkkotoiminnot, joihin liittyy käyttäjän todennus. Menestyminen edellyttää uhrilta tahattomia toimia.
CSRF-hyökkäyksen aikana GET-, DELETE- ja PUT-toiminnot sekä haavoittuvat POST-pyynnöt ovat hyökkääjän pääkohteita.
Katsotaanpa näiden termien merkitystä:
- SAADA: Pyyntö kerätä tulos tietokannasta; esimerkiksi Google-haku.
- LÄHETTÄÄ: Tyypillisesti pyyntöjen lähettämiseen verkkolomakkeiden kautta. POST-pyyntö on yleinen käyttäjän rekisteröinnin tai kirjautumisen aikana, joka tunnetaan myös nimellä todennuksena.
- POISTAA: Resurssin poistaminen tietokannasta. Teet tämän aina, kun poistat tilisi tietystä verkkopalvelusta.
- LAITTAA: PUT-pyyntö muuttaa tai päivittää olemassa olevaa resurssia. Esimerkki on muuttamalla Facebook-nimeäsi.
Käytännössä hyökkääjät käyttävät istunnon kaappausta CSRF-hyökkäyksen varmuuskopiointiin. Tätä yhdistelmää käytettäessä hyökkääjä voi kaappauksella muuttaa uhrin IP-osoitteen.
IP-osoitteen muutos kirjaa sitten uhrin uudelle verkkosivustolle, johon hyökkääjä on lisännyt petollisen linkin, joka lähettää kopioidun lomakkeen tai muokatun palvelinpyynnön, jonka he ovat luoneet CSRF: n kautta.
Epäilemättömän käyttäjän mielestä uudelleenohjaus tulee palveluntarjoajalta ja napsauttaa linkkiä hyökkääjän verkkosivulla. Kun he ovat tehneet tämän, hakkerit lähettävät lomakkeen sivulatauksella ilman heidän tietämystään.
Esimerkki GET Request CSRF -hyökkäyksestä
Kuvittele, kuinka yrität suorittaa verkkomaksun suojaamattoman verkkokaupan kautta. Alustan omistajat käyttävät GET-pyyntöä tapahtumasi käsittelyyn. GET-kysely saattaa näyttää tältä:
https://websiteurl/pay? määrä = 10 dollaria & yritys = [yrityksen ABC: n tili]Kaappaaja voi varastaa tapahtumasi helposti muuttamalla GET-pyynnön parametreja. Tätä varten heidän tarvitsee vain vaihtaa nimesi omaan, ja mikä pahempaa, muuta maksamaasi summaa. Sitten he nipistävät alkuperäistä kyselyä tälle:
https://websiteurl/pay? määrä = 20000 dollaria & yritys = [hyökkääjän tili]Kun napsautat linkkiä muokattuun GET-pyyntöön, päätät tahattomasti siirtää hyökkääjän tilille.
Kaupankäynti GET-pyyntöjen kautta on huono käytäntö, ja se tekee aktiviteeteista alttiita hyökkäyksille.
Esimerkki POST-pyynnön CSRF-hyökkäyksestä
Monet kehittäjät uskovat kuitenkin, että POST-pyynnön käyttö on turvallisempaa verkkotapahtumien suorittamiseen. Vaikka se on totta, valitettavasti POST-pyyntö on altis myös CSRF-hyökkäyksille.
POST-pyynnön kaappaamiseksi onnistuneesti kaikki hyökkääjät tarvitsevat nykyisen istuntotunnuksesi, joitain toistettuja näkymättömiä lomakkeita ja joskus pienen sosiaalisen suunnittelun.
Esimerkiksi POST-pyyntölomake voi näyttää tältä:
Hyökkääjä voi kuitenkin vaihtaa tunnistetietosi tekemällä uuden sivun ja muokkaamalla yllä olevaa lomaketta tähän:
Manipuloidussa muodossa hyökkääjä asettaa summan kentän arvoksi "30000", vaihtaa vastaanottajan tilinumero hänen omaansa, lähettää lomakkeen sivulatauksessa ja piilottaa myös lomakekentät käyttäjä.
Kun he kaappaavat kyseisen istunnon, tapahtumasivusi käynnistää uudelleenohjauksen hyökkääjän sivulle, mikä kehottaa sinua napsauttamaan linkkiä, jonka he tietävät todennäköisimmin vierailevasi.
Napsauttamalla tätä lataat jäljennetyn lomakkeen, joka siirtää varat hyökkääjän tilille. Tämä tarkoittaa, että sinun ei tarvitse napsauttaa "Lähetä" -painikkeita tapahtuman tapahtuessa, koska JavaScript tekee tämän automaattisesti seuraavan verkkosivun lataamisen yhteydessä.
Vaihtoehtoisesti hyökkääjä voi myös laatia HTML: ään upotetun sähköpostin, joka kehottaa sinua napsauttamaan linkkiä suorittaaksesi saman sivulatauslomakkeen.
Toinen CSRF-hyökkäykselle alttiina oleva toiminta on käyttäjänimi tai salasanan vaihto, esimerkki PUT-pyynnöstä. Hyökkääjä kopioi pyyntölomakkeesi ja korvaa sähköpostiosoitteesi omalla.
Sitten he varastavat istuntosi ja joko ohjaavat sinut sivulle tai lähettävät sinulle sähköpostin, joka kehottaa sinua napsauttamaan houkuttelevaa linkkiä.
Se lähettää sitten manipuloidun lomakkeen, joka lähettää salasanan palautuslinkin hakkerin sähköpostiosoitteeseen sinun sijaintisi sijaan. Tällä tavoin hakkeri vaihtaa salasanasi ja kirjaa sinut ulos tilistäsi.
Kuinka estää CSRF-hyökkäyksiä kehittäjänä
Yksi parhaista tavoista estää CSRF on käyttää usein vaihtuvia tunnuksia istunnon evästeiden sijasta tilamuutoksen suorittamiseksi palvelimella.
Liittyvät: Ilmaiset oppaat digitaalisen turvallisuuden ymmärtämiseksi ja yksityisyyden suojaamiseksi
Monet modernit taustakehykset tarjoavat turvallisuutta CSRF: ää vastaan. Joten jos haluat välttää teknisiä yksityiskohtia CSRF: n torjumiseksi itse, voit korjata sen helposti käyttämällä palvelinpuolen kehyksiä, joihin kuuluu sisäänrakennetut anti-CSRF-tunnukset.
Kun käytät anti-CSRF-tunnusta, palvelinpohjaiset pyynnöt luovat satunnaisia merkkijonoja staattisempien haavoittuvien istuntoevästeiden sijaan. Tällä tavoin saat suojata istuntosi kaappaajan arvailulta.
Kaksivaiheisen todennusjärjestelmän (2FA) käyttöönotto tapahtumien suorittamiseksi verkkosovelluksessasi vähentää myös CSRF: n mahdollisuutta.
CSRF on mahdollista käynnistää sivustojen välisellä komentosarjalla (XSS), joka käsittää komentosarjan injektoinnin käyttäjän kenttiin, kuten kommenttilomakkeet. Tämän estämiseksi on hyvä käytäntö sallia HTML: n automaattinen poistuminen kaikissa verkkosivustosi käyttäjän lomakekentissä. Tämä toiminto estää lomakekenttiä tulkitsemasta HTML-elementtejä.
Kuinka estää CSRF-hyökkäyksiä käyttäjänä
Autentikointiin liittyvän verkkopalvelun käyttäjänä sinulla on oma tehtäväsi estää hyökkääjiä varastamasta tunnistetietojasi ja istuntojasi myös CSRF: n kautta.
Varmista, että käytät luotettavia verkkopalveluja toimintojen aikana, joihin liittyy varojen siirto.
Tämän lisäksi käytä suojatut verkkoselaimet jotka suojaavat käyttäjiä istunnon altistumiselta, sekä suojatut hakukoneet, jotka suojaavat hakutietovuotoja vastaan.
Liittyvät: Parhaat yksityiset hakukoneet, jotka kunnioittavat tietojasi
Käyttäjänä voit luottaa myös kolmansien osapuolten todennuksiin, kuten Google Authenticator tai sen vaihtoehdot henkilöllisyyden vahvistamiseksi verkossa.
Vaikka saatat tuntea avuttoman estämään hyökkääjää kaappaamasta istuntoasi, voit silti auttaa estä tämä varmistamalla, että selaimesi ei tallenna tietoja, kuten salasanoja ja muita kirjautumistunnuksia yksityiskohdat.
Nosta verkkoturvallisuutesi
Kehittäjien on testattava verkkosovellukset säännöllisesti tietoturvaloukkausten varalta kehityksen ja käyttöönoton aikana.
On kuitenkin tavallista ottaa käyttöön muita haavoittuvuuksia yrittäessään estää muita. Joten ole varovainen, ettet ole rikkonut muita suojausparametreja yrittäessäsi estää CSRF-tiedostoa.
Luo vahva salasana, jonka muistat myöhemmin. Käytä näitä sovelluksia päivittääksesi suojauksesi uusilla vahvilla salasanoilla tänään.
- Turvallisuus
- Verkkoturva
Idowu on intohimoisesti kaikesta älykkäästä tekniikasta ja tuottavuudesta. Vapaa-ajallaan hän leikkii koodauksella ja vaihtaa shakkilautaan, kun hän on tylsistynyt, mutta rakastaa myös irti rutiinista silloin tällöin. Hänen intohimonsa osoittaa ihmisille tien ympäri nykytekniikkaa motivoi häntä kirjoittamaan enemmän.
Tilaa uutiskirjeemme
Liity uutiskirjeeseemme, jossa on teknisiä vinkkejä, arvosteluja, ilmaisia e-kirjoja ja erikoistarjouksia!
Vielä yksi askel !!!
Vahvista sähköpostiosoitteesi juuri lähettämässäsi sähköpostiviestissä.