Image
3.3.2016 0 Comments

WWW hacking a obrana / 10. časť

Táto v poradí už desiata a zároveň záverečná časť seriálu bude venovaná zaujímavým, menej známym, ale o to nebezpečnejším útokom CSRF (Cross Site Request Forgery). V druhej časti článku nájdete aj krátky pohľad na minulosť a prítomnosť webového hackingu.Cross Site Request Forgery – CSRF Metóda útoku CSRF (označovaná aj XSRF) je síce menej známa pre širší okruh webových vývojárov, zato však veľmi nebezpečná. Útočníci túto techniku dokonale ovládajú a dokážu z nej vyťažiť obrovské výsledky. Útok spočíva na rovnakom princípe ako väčšina iných útokov. Ide o to, aby sa úspešne vykonal kód podvrhnutý útočníkom. Pekný príklad, ktorý sa často objavuje, je ukážka zmanipulovania výsledkov ankety. Predstavte si, že útočník si dá za cieľ zmanipulovať výsledky webovej ankety vo svoj prospech. Povedzme, že anketa sa nachádza na serveri http://www.nejaka-domena.com a skript na hlasovanie používa metódu prenosu informácií GET. Súbor obsahujúci kód má názov hlasujte.php a parameter premennej zahlasujem_za sa rovná 3. Celá adresa, ktorú treba v prehliadači zadať, aby sa pridal požadovaný hlas do ankety, je http://www.nejaka-domena.com/hlasujte.php?zahlasujem_za=3. Tento odkaz stačí umiestniť na nejaký čet, diskusné fórum či rozposlať e-mailom niekoľkým stovkám alebo tisíckam ľudí. Niektorí z nich následne na odkaz kliknú a nevedomky zahlasujú v ankete. Čím lepšie využije útočník svoje schopnosti z oblasti sociálneho inžinierstva, tým viac používateľov sa mu podarí nalákať, aby na odkaz klikli. No tento spôsob má pre útočníka tú chybu, že používateľ vidí adresu URL, na ktorú klikne. Útočník si preto na nejakom freehostingu vytvorí vlastnú doménu, na ktorú umiestni jednoduchú stránku, ako je na výpise č. 1. Výpis č. 1: Ukážka útoku CSRF - Cross Site Request Forgery Následne na nejaké diskusné fó ...

Článok je uzamknutý

Pokračovanie článku patrí k prémiovému obsahu PC REVUE, ktorý je dostupný pre predplatiteľov. S digitálnym predplatným za 20 € na celý rok získate neobmedzený prístup k uzamknutému obsahu na webe. Objednať si ho môžete TU. Ak už máte digitálne predplatné PC REVUE prihláste sa TU. Ak máte digitálne predplatné Piano, prihláste sa pomocou Piano.


Prihlásiť pomocou členstva PC REVUE
 
Alebo sa prihláste cez službu Piano





Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

ITPro

Právne okienko

08.12.2016 12:02

1. Ako postupovať, ak obchodník nechce uznať reklamáciu tovaru objednaného z e-shopu? V takomto prípade môžu nastať v zásade dve situácie. Ak zákazník reklamuje tovar do 12 mesiacov od jeho kúpy, mož ...

ITPro

Linux súkromne i pracovne v2.0 (14. časť): Small Business Server

09.11.2016 14:57

Pojem Small Business Server (malý firemný server) začala používať spoločnosť Microsoft ešte v roku 2000 na označenie servera, ktorý ­dokázal plniť úlohy niekoľkých samostatných serverov. Aplikačná vrs ...

ITPro

Industry 4.0: Fikcia alebo už realita?

09.11.2016 14:52

Štvrtá priemyselná revolúcia je pomenovanie rozsiahlych zmien prudko vstupujúcich do súčasného priemyslu. Nositeľom týchto zmien je digitalizácia výroby a optimalizácia všetkých podnikových procesov v ...

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá