1. ev
  2. Soru-cevap
  3. Tüm tarayıcılar aynı Kaynak Politikası'nı kullanıyorsa, CSRF saldırıları nasıl çalışır?

Tüm tarayıcılar aynı Kaynak Politikası'nı kullanıyorsa, CSRF saldırıları nasıl çalışır?

2016-03-21 11 views
0

Kafamı CSRF saldırıları ile saramamam gereken bir şey, bir saldırının bizi farklı bir siteye nasıl çekebileceğidir ve hala seans verilerinizi kullanabilmesidir. Tüm tarayıcılar aynı Kaynak Politikası'nı kullanıyorsa, CSRF saldırıları nasıl çalışır?

Ben tarayıcısı "trustworthysite.com" sonra tüm istekleri (vb formlar, ajax, XMLHTTPRequests'ini) gibi bir web sitesine işaret ise aynı etki

örn olmak zorunda düşündüm.

<form action="http://trustworthysite.com/login" method="POST"> 
    Your name: <input type="text"><br/> 
    <input type="hidden" name="amount" value="10000"> 
    <input type="hidden" name="recipient" value="evil_hacker"> 
</form>

veya 

$.ajax({ 
    url: "http://trustworthysite.com/post", 
    type: "POST", 
    data: postData, 
    success: function (data) { 

    }, 
    error: function() { 

    } 
});

Ama

saldırgan "malicioussite.com" için kullanılmasını sokulmuş ve sonra bir "çapraz menşe" olduğu için başarısız olmaz Yukarıdaki JavaScript kodunu çalıştırmayı çalışırsa istek?

Nasıl çalışır?

kaynak

2016-03-21 Nick Pineda

+0

[OWASP: Siteler Arası Talep Sahteciliği (CSRF)] (https://www.owasp.org/index.php/Cross-Site_Request_Forgery_ (CSRF)) – Andreas

+0

Aynı Kaynak İlkesi yalnızca okuma verileri için geçerlidir. yazıyor. –

cevap

4

Aynı Köken İlkesi, farklı bir kaynaktan gelen yanıtı üzerinden durdurur. isteğinin yapılmasını durduruyor (bazı sınırlı durumlar dışında).

KSS saldırıları öncelikle veri çalmaktan ziyade kötü amaçlı talimatlar göndermekle ilgilidir.

kaynak

2016-03-21 17:19:23 Quentin

+0

Thx! Mükemmel cevap! –

İlgili konular

 İlgili konular