XSRF

XSRF

XSRF (англ. Сross Site Request Forgery — «Подделка межсайтовых запросов») — вид атак на посетителей веб-сайтов, использующий недостатки протокола авторизована на том сервере, на который отправляется запрос, и этот запрос не должен требовать какого-либо подтверждения со стороны пользователя, который не может быть проигнорирован или подделан атакующим скриптом.

Данный тип атак, вопреки распространённому заблуждению, появился достаточно давно: первые теоретические рассуждения появились в 1988 году[1], а первые уязвимости были обнаружены в 2000 году.

Одно из применений XSRF — эксплуатация пассивных XSS, обнаруженных на другом сервере. Так же возможны отправка писем (спам) от лица жертвы и изменение каких-либо настроек учётных записей на других сайтах (например, секретного вопроса для восстановления пароля). Для защиты от данного типа атак, веб-сайты должны требовать подтверждения большинства действий пользователя и проверять поле HTTP referer, если оно указано в запросе.

Ссылки

Примечания

  1. http://www.securitylab.ru/analytics/292473.php

Wikimedia Foundation. 2010.

Игры ⚽ Поможем написать курсовую

Полезное


Смотреть что такое "XSRF" в других словарях:

  • XSRF — Eine Cross Site Request Forgery (zu deutsch etwa „Site übergreifende Aufruf Manipulation“, meist XSRF oder CSRF abgekürzt) ist ein Angriff auf ein Computersystem, bei dem der Angreifer unberechtigt Daten in einer Webanwendung verändert. Er… …   Deutsch Wikipedia

  • XSRF — Cross site request forgery Les attaques de type Cross Site request forgeries (abrégées CSRF prononcées sea surfing ou parfois XSRF) utilisent l utilisateur comme déclencheur, celui ci devient complice sans en être conscient. L attaque étant… …   Wikipédia en Français

  • JavaScript — Infobox programming language name = JavaScript paradigm = Multi paradigm: prototype based, functional, imperative, scripting year = 1995 designer = Brendan Eich developer = Netscape Communications Corporation, Mozilla Foundation latest release… …   Wikipedia

  • Cross-site scripting — (XSS) is a type of computer security vulnerability typically found in Web applications that enables attackers to inject client side script into Web pages viewed by other users. A cross site scripting vulnerability may be used by attackers to… …   Wikipedia

  • Подделка межсайтовых запросов — CSRF (англ. Сross Site Request Forgery  «Подделка межсайтовых запросов», также известен как XSRF)  вид атак на посетителей веб сайтов, использующий недостатки протокола HTTP. Если жертва …   Википедия

  • Cross-site request forgery — Cross site request forgery, also known as a one click attack or session riding and abbreviated as CSRF (pronounced sea surf[1]) or XSRF, is a type of malicious exploit of a website whereby unauthorized commands are transmitted from a user that… …   Wikipedia

  • JSON — infobox file format mime = application/json extension = .json genre = Data interchange standard = RFC 4627JSON (pronEng|ˈdʒeɪsɒn, i.e., Jason ), short for JavaScript Object Notation, is a lightweight computer data interchange format. It is a text …   Wikipedia

  • Same origin policy — In computing, the same origin policy is an important security measure for client side scripting (mostly JavaScript). The policy dates from Netscape Navigator 2.0, with necessary coverage fixes in Navigator 2.01 and Navigator 2.02. It prevents a… …   Wikipedia

  • CSRF — Eine Cross Site Request Forgery (zu deutsch etwa „Site übergreifende Aufruf Manipulation“, meist XSRF oder CSRF abgekürzt) ist ein Angriff auf ein Computersystem, bei dem der Angreifer unberechtigt Daten in einer Webanwendung verändert. Er… …   Deutsch Wikipedia

  • Cross-Site Request Forgery — Eine Cross Site Request Forgery (auf Deutsch etwa „Seiten übergreifende Aufruf Manipulation“, meist CSRF oder XSRF abgekürzt) ist ein Angriff auf ein Computersystem, bei dem der Angreifer eine Transaktion in einer Webanwendung durchführt. Dies… …   Deutsch Wikipedia


Поделиться ссылкой на выделенное

Прямая ссылка:
Нажмите правой клавишей мыши и выберите «Копировать ссылку»