குறுக்கு தள கோரிக்கை மோசடி (சி.எஸ்.ஆர்.எஃப்) என்றால் என்ன? - டெக்கோபீடியாவிலிருந்து வரையறை

வரையறை - குறுக்கு தள கோரிக்கை மோசடி (சி.எஸ்.ஆர்.எஃப்) என்றால் என்ன?

குறுக்கு தள கோரிக்கை மோசடி (சி.எஸ்.ஆர்.எஃப்) என்பது ஒரு நம்பகமான வலைத்தள பயனரிடமிருந்து அங்கீகரிக்கப்படாத கட்டளைகளை வழங்குவதன் மூலம் மேற்கொள்ளப்படும் ஒரு வகை வலைத்தள சுரண்டல் ஆகும். குறுக்கு தள ஸ்கிரிப்ட்டுக்கு மாறாக, ஒரு குறிப்பிட்ட பயனரின் உலாவிக்கான வலைத்தளத்தின் நம்பிக்கையை CSRF சுரண்டுகிறது, இது ஒரு வலைத்தளத்திற்கான பயனரின் நம்பிக்கையைப் பயன்படுத்துகிறது.

இந்த சொல் அமர்வு சவாரி அல்லது ஒரு கிளிக் தாக்குதல் என்றும் அழைக்கப்படுகிறது.

குறுக்கு தள கோரிக்கை மோசடி (சி.எஸ்.ஆர்.எஃப்) ஐ டெக்கோபீடியா விளக்குகிறது

ஒரு சி.எஸ்.ஆர்.எஃப் வழக்கமாக உலாவியின் "GET" கட்டளையை சுரண்டல் புள்ளியாகப் பயன்படுத்துகிறது. CSR ஃபோர்கர்கள் ஒரு குறிப்பிட்ட வலைத்தளத்திற்கு கட்டளைகளை செலுத்த "IMG" போன்ற HTML குறிச்சொற்களைப் பயன்படுத்துகின்றனர். அந்த வலைத்தளத்தின் ஒரு குறிப்பிட்ட பயனர் பின்னர் ஹோஸ்டாகவும் அறியாத கூட்டாளியாகவும் பயன்படுத்தப்படுகிறார். முறையான பயனர் கட்டளைகளை அனுப்புவதால், அது தாக்குதலுக்கு உள்ளாகிறது என்பது பெரும்பாலும் வலைத்தளத்திற்குத் தெரியாது. தாக்குபவர் வேறொரு கணக்கிற்கு நிதியை மாற்றுவதற்கான கோரிக்கையை வழங்கலாம், அதிக நிதிகளை திரும்பப் பெறலாம் அல்லது பேபால் மற்றும் ஒத்த தளங்களின் விஷயத்தில், மற்றொரு கணக்கிற்கு பணத்தை அனுப்பலாம்.

ஒரு சி.எஸ்.ஆர்.எஃப் தாக்குதலை நிறைவேற்றுவது கடினம், ஏனெனில் அது வெற்றிபெற பல விஷயங்கள் நடக்க வேண்டும்:

• தாக்குபவர் பரிந்துரைக்கும் தலைப்பை சரிபார்க்காத வலைத்தளத்தை (இது பொதுவானது) அல்லது உலாவி அல்லது செருகுநிரல் பிழையுடன் ஒரு பயனர் / பாதிக்கப்பட்டவரை குறிவைக்க வேண்டும், இது ரெஃபரர் ஸ்பூஃபிங்கை அனுமதிக்கிறது (இது அரிதானது).
• தாக்குதல் நடத்தியவர் இலக்கு இணையதளத்தில் ஒரு படிவ சமர்ப்பிப்பைக் கண்டுபிடிக்க வேண்டும், இது பாதிக்கப்பட்டவரின் மின்னஞ்சல் முகவரி உள்நுழைவு சான்றுகளை மாற்றுவது அல்லது பணப் பரிமாற்றம் செய்வது போன்ற ஏதாவது ஒன்றைக் கொண்டிருக்க வேண்டும்.
• படிவத்தின் அல்லது URL இன் உள்ளீடுகள் அனைத்திற்கும் சரியான மதிப்புகளை தாக்குபவர் தீர்மானிக்க வேண்டும். அவற்றில் ஏதேனும் இரகசிய மதிப்புகள் அல்லது தாக்குபவர் துல்லியமாக யூகிக்க முடியாத ஐடிகளாக இருக்க வேண்டும் என்றால், தாக்குதல் தோல்வியடையும்.
• பாதிக்கப்பட்டவர் இலக்கு தளத்தில் உள்நுழைந்திருக்கும்போது, ​​தீங்கிழைக்கும் குறியீட்டைக் கொண்ட வலைப்பக்கத்திற்கு தாக்குபவர் பயனரை / பாதிக்கப்பட்டவரை ஈர்க்க வேண்டும்.

எடுத்துக்காட்டாக, அரட்டை அறையில் இருக்கும்போது நபர் A தனது வங்கிக் கணக்கை உலாவுகிறார் என்று வைத்துக்கொள்வோம். அரட்டை அறையில் ஒரு தாக்குபவர் (நபர் பி) இருக்கிறார், அவர் நபர் ஏ. வங்கி.காமில் உள்நுழைந்துள்ளார் என்பதை அறிகிறார். நபர் பி ஒரு வேடிக்கையான படத்திற்கான இணைப்பைக் கிளிக் செய்ய நபர் A ஐ ஈர்க்கிறார். "IMG" குறிச்சொல் வங்கி.காமின் படிவ உள்ளீடுகளுக்கான மதிப்புகளைக் கொண்டுள்ளது, இது நபர் A இன் கணக்கிலிருந்து ஒரு குறிப்பிட்ட தொகையை நபர் B இன் கணக்கில் திறம்பட மாற்றும். நிதி மாற்றப்படுவதற்கு முன்பு நபர் A க்கு இரண்டாம் நிலை அங்கீகாரம் வங்கி.காமில் இல்லை என்றால், தாக்குதல் வெற்றிகரமாக இருக்கும்.