Image
3.3.2016 0 Comments

WWW hacking a obrana / 10. časť

Táto v poradí už desiata a zároveň záverečná časť seriálu bude venovaná zaujímavým, menej známym, ale o to nebezpečnejším útokom CSRF (Cross Site Request Forgery). V druhej časti článku nájdete aj krátky pohľad na minulosť a prítomnosť webového hackingu.Cross Site Request Forgery – CSRF Metóda útoku CSRF (označovaná aj XSRF) je síce menej známa pre širší okruh webových vývojárov, zato však veľmi nebezpečná. Útočníci túto techniku dokonale ovládajú a dokážu z nej vyťažiť obrovské výsledky. Útok spočíva na rovnakom princípe ako väčšina iných útokov. Ide o to, aby sa úspešne vykonal kód podvrhnutý útočníkom. Pekný príklad, ktorý sa často objavuje, je ukážka zmanipulovania výsledkov ankety. Predstavte si, že útočník si dá za cieľ zmanipulovať výsledky webovej ankety vo svoj prospech. Povedzme, že anketa sa nachádza na serveri http://www.nejaka-domena.com a skript na hlasovanie používa metódu prenosu informácií GET. Súbor obsahujúci kód má názov hlasujte.php a parameter premennej zahlasujem_za sa rovná 3. Celá adresa, ktorú treba v prehliadači zadať, aby sa pridal požadovaný hlas do ankety, je http://www.nejaka-domena.com/hlasujte.php?zahlasujem_za=3. Tento odkaz stačí umiestniť na nejaký čet, diskusné fórum či rozposlať e-mailom niekoľkým stovkám alebo tisíckam ľudí. Niektorí z nich následne na odkaz kliknú a nevedomky zahlasujú v ankete. Čím lepšie využije útočník svoje schopnosti z oblasti sociálneho inžinierstva, tým viac používateľov sa mu podarí nalákať, aby na odkaz klikli. No tento spôsob má pre útočníka tú chybu, že používateľ vidí adresu URL, na ktorú klikne. Útočník si preto na nejakom freehostingu vytvorí vlastnú doménu, na ktorú umiestni jednoduchú stránku, ako je na výpise č. 1. Výpis č. 1: Ukážka útoku CSRF - Cross Site Request Forgery Následne na nejaké diskusné fó ...

Článok je uzamknutý

Pokračovanie článku patrí k prémiovému obsahu PC REVUE, ktorý je dostupný pre predplatiteľov. S digitálnym predplatným za 20 € na celý rok získate neobmedzený prístup k uzamknutému obsahu na webe. Objednať si ho môžete TU. Ak už máte digitálne predplatné PC REVUE prihláste sa TU. Ak máte digitálne predplatné Piano, prihláste sa pomocou Piano.


Prihlásiť pomocou členstva PC REVUE
 
Alebo sa prihláste cez službu Piano





Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

ITPro 1

Rozšírená realita pomôže školám

17.12.2016 00:05

Raz vidieť je lepšie ako stokrát počuť a v školstve to platí ešte mnohonásobne viac. Čo však v prípade, ak si študenti majú pozrieť, ako v reálnom čase pracuje jadrový reaktor? Alebo by chceli vidieť, ...

ITPro

Linux súkromne i pracovne v2.0 (15. časť): SIP (Session Initiation Protocol)

13.12.2016 11:58

Je priam neuveriteľné, aké množstvo užitočných informácií a faktov súvisiacich s IP telefóniou (VoIP) sa skrýva za takou jednoduchou skratkou, ako je SIP. Nejde pritom iba o protokol, ale o mnoho ďalš ...

ITPro

Výzvy a perspektívy mobilných sietí

13.12.2016 11:52

Dostupnosť kvalitného mobilného pripojenia vrátane dostatočnej kapacity na prenos dát považujeme v súčasnosti za samozrejmosť.  O niektorých špecifikách a  perspektívach služieb mobilných operátorov v ...

Vyhľadávanie

Kyocer TASK

Najnovšie videá