CSRF

A CSRF az angol cross‑site request forgery kifejezés rövidítése, és olyan internetes támadást jelent, melynek során egy felhasználó nevében küldenek általa nem kívánt parancsot egy weboldalnak.

Például ha a támadó azt akarja, hogy egy felhasználó töröljön egy bejegyzést egy fórumból, és a törléshez a https://valamilyenforum.hu/index.php?mit=torol&bejegyzes=112 címet kellene a felhasználónak meghívnia, akkor a támadó elhelyezheti ezt a címet egy másik weboldalon egy IMG HTML tagben, mintha az egy kép lenne. Amikor a felhasználó megnézi a támadó weboldalát, akkor a böngészője megpróbálja letölteni ezt a "képet", így megnyitja a bejegyzést törlését végző honlapcímet, és ha be van jelentkezve a fórumba, akkor a fórum úgy fogja látni, mintha tőle érkezne a törlési kérelem, ezért a bejegyzés törlődik.

A támadás veszélye részben csökkenthető, ha a fontosabb weboldalakra nem vagy bejelentkezve, amikor nem használod őket, de a kivédéséért a weboldal készítői tehetnek a legtöbbet. Az egyik egyszerű megoldás, ha minden felhasználónak van egy véletlenszerű egyedi kódja (úgynevezett CSRF token), amit minden fontos funkció elérésénél elküld a felhasználó böngészője a weboldalnak (például a fenti példában lévő cím esetében ez így nézhetne ki: https://valamilyenforum.hu/index.php?mit=torol&bejegyzes=112&titkoskod=f34f3wfg). Mivel a támadó nem tudja a felhasználó egyedi kódját, nem tudja a támadást kivitelezni.

Bővebben: Cross-site request forgery (Wikipédia)

• informatika
• rövidítés
• internet
• internetes biztonság

Publikálva: 2021. november 5.

Harmadik féltől származó sütiket (cookie-kat) használunk a megjelenő reklámok személyre szabása és statisztikai adatok gyűjtése érdekében, valamint sütikben tároljuk a beállításokat. A sütikről részletes tájékoztató olvasható adatvédelmi tájékoztatónkban. A süti beállításokat lehetőség van személyre szabni ezen az oldalon vagy az "Elfogadom" gombra kattintva hozzájárulhatsz az összes süti használatához.