Το προφίλ μας στο Google Plus
2

Πλαστογραφημένες δικτυακές αιτήσεις

Το Cross-Site Request Forgery δεν αποτελεί ιδιαίτερα γνωστή μέθοδο επίθεσης, αλλά να είσαστε σίγουροι ότι είναι αρκετά επικίνδυνη. Σε αυτό το άρθρο θα μάθουμε τι είναι και πώς υλοποιείται, στήνοντας το κατάλληλο δικτυακό περιβάλλον και πραγματοποιώντας μερικά ενδιαφέροντα πειράματα. Επιπρόσθετα, θα εξετάσουμε κι έναν απλό μηχανισμό άμυνας.

deltaHacker 027 (τεύχος Δεκεμβρίου 2013) | Πλαστογραφημένες δικτυακές αιτήσεις

Το Cross-Site Request Forgery (ή απλά CSRF) αποτελεί μια επίθεση που πραγματοποιείται με στόχο κάποιο ευπαθές website. Ωστόσο το θύμα αυτής της επίθεσης δεν είναι το εκάστοτε website, ούτε ο server που το φιλοξενεί, ούτε ο διαχειριστής του. Το θύμα αυτής της επίθεσης είναι κάποιος από τους χρήστες του website! Η επίθεση CSRF προβλέπει την ύπουλη αποστολή δικτυακών αιτημάτων (requests) προς κάποιο website, χωρίς τη συναίνεση του χρήστη (επισκέπτη). Εκεί κολλάει και το "request forgery" , αφού τα αιτήματα μοιάζουν να προέρχονται από τον χρήστη, ενώ στην πραγματικότητα είναι κατασκευασμένα από τον επιτιθέμενο. Τα εν λόγω αιτήματα κρύβονται σε ιστοσελίδες που έχει επίσης κατασκευάσει ο επιτιθέμενος, ενώ παραπέμπουν σε άσχετα websites. Έτσι δικαιολογείται κι ο όρος "Cross-site", αφού η επίθεση λαμβάνει χώρα από έναν δικτυακό τόπο προς κάποιον άλλο. Όλα αυτά όμως είναι πολύ θεωρητικά. Ας δούμε για αρχή τι είναι αυτά τα δικτυακά αιτήματα και σε τι χρησιμεύουν, για να εξετάσουμε στη συνέχεια το πώς μπορούν να αξιοποιηθούν από τον επιτιθέμενο.

Διαβάστε ολόκληρο το άρθρο στο deltaHacker 027 (τεύχος Δεκεμβρίου 2013).

Το μηνιαίο περιοδικό deltaHacker είναι πλέον ηλεκτρονικό! Μάθετε για τις νέες, απίστευτες τιμές και κάντε τώρα την παραγγελία σας συμπληρώνοντας τη σχετική φόρμα.

Σημείωση για τους νέους φίλους: Δεν έχετε πάρει ακόμα συνδρομή στο περιοδικό; Δείτε αυτές τις προσφορές, μάλλον θα σας ενδιαφέρουν :)


Μοιράσου το:

Google DiGG ReddIt LinkedIn Microsoft Live del.icio.us StumbleUpon RSS PDF Print

2 Responses to “Πλαστογραφημένες δικτυακές αιτήσεις”

  1. kakomiris | 03/01/2014 at 14:32

    http://deltahacker.gr/2011/08/14/cross-site-request-forgery/

    • subZraw | 03/01/2014 at 15:55

      Ναι, δεν είναι η πρώτη φορά που καταπιανόμαστε με το θέμα. Μόνο που η προσέγγιση του @ikoniaris είναι εντελώς διαφορετική από εκείνη του @thiseas.

Leave a Reply

You must be logged in to post a comment.

Σύνδεση

Google Site-Search

Πρόσφατα

  • Tabber

Σχόλια

  • Paranoia.1.0. στο Το Kali με WiFi, στο PenTest Lab

    Φιλε το εκανα και επιτελους αλλαξε και η αναλυση εγινε στα πλασια της οθονης του λαπτοπ μου να...

    Ημερομηνία: 10/12/2014

  • t13 στο OpenVPN σε Ubuntu Server - επικαιροποιημένος οδηγός

    Γεια και απο μενα, ακολουθησα τα παραπανω βηματα αλλα μου προεκυψαν καποια θεματακια... Αρχικα δεν μπρουσα να εγκαταστησω...

    Ημερομηνία: 09/12/2014

  • Paranoia.1.0. στο Το Kali με WiFi, στο PenTest Lab

    Ευχαριστω θα το δοκιμασω και θα σας πω.. Το sh /media/cdrom/VBox*.run ειναι εντολη ;! Αναμεσα στο...

    Ημερομηνία: 08/12/2014

  • h.n.y στο Το Kali με WiFi, στο PenTest Lab

    Έλεγξε το /etc/apt/sources.list αρχείο εάν έχει τις ακόλουθες γραμμές: deb http://http.kali.org/kali kali main contrib non-free deb http://security.kali.org/kali-security kali/updates main contrib...

    Ημερομηνία: 07/12/2014

  • Paranoia.1.0. στο Το Kali με WiFi, στο PenTest Lab

    Καλησπερα!Ειδα το αρθρο για την εγκατασταση του Καλι αλλα εχω μια απορια!Οταν γραφω την εντολη apt-get install linux-headers-$(uname...

    Ημερομηνία: 06/12/2014

Άρθρα

Απαντήσεις

Θέματα

Αρχείο