Samsung_01A2021 Samsung_01A2021 Samsung_01A2021 Advertisement

WWW hacking a obrana / 10. časť

0
Táto v poradí už desiata a zároveň záverečná časť seriálu bude venovaná zaujímavým, menej známym, ale o to nebezpečnejším útokom CSRF (Cross Site Request Forgery). V druhej časti článku nájdete aj krátky pohľad na minulosť a prítomnosť webového hackingu.Cross Site Request Forgery – CSRF Metóda útoku CSRF (označovaná aj XSRF) je síce menej známa pre širší okruh webových vývojárov, zato však veľmi nebezpečná. Útočníci túto techniku dokonale ovládajú a dokážu z nej vyťažiť obrovské výsledky. Útok spočíva na rovnakom princípe ako väčšina iných útokov. Ide o to, aby sa úspešne vykonal kód podvrhnutý útočníkom. Pekný príklad, ktorý sa často objavuje, je ukážka zmanipulovania výsledkov ankety. Predstavte si, že útočník si dá za cieľ zmanipulovať výsledky webovej ankety vo svoj prospech. Povedzme, že anketa sa nachádza na serveri http://www.nejaka-domena.com a skript na hlasovanie používa metódu prenosu informácií GET. Súbor obsahujúci kód má názov hlasujte.php a parameter premennej zahlasujem_za sa rovná 3. Celá adresa, ktorú treba v prehliadači zadať, aby sa pridal požadovaný hlas do ankety, je http://www.nejaka-domena.com/hlasujte.php?zahlasujem_za=3. Tento odkaz stačí umiestniť na nejaký čet, diskusné fórum či rozposlať e-mailom niekoľkým stovkám alebo tisíckam ľudí. Niektorí z nich následne na odkaz kliknú a nevedomky zahlasujú v ankete. Čím lepšie využije útočník svoje schopnosti z oblasti sociálneho inžinierstva, tým viac používateľov sa mu podarí nalákať, aby na odkaz klikli. No tento spôsob má pre útočníka tú chybu, že používateľ vidí adresu URL, na ktorú klikne. Útočník si preto na nejakom freehostingu vytvorí vlastnú doménu, na ktorú umiestni jednoduchú stránku, ako je na výpise č. 1. Výpis č. 1: Ukážka útoku CSRF - Cross Site Request Forgery Následne na nejaké diskusné fó ...

Mohlo by vás zaujímať

Mohlo by vás zaujímať