Apakah itu CSRF

Setelah sekian lama blog ini berhabuk kini saya (SYN) akan menghidupkan balik kembali blog ini.

Serangan CSRF telah tumbuh sebagai ancaman kritikal untuk aplikasi web, yang mengambil manfaat daripada kelemahan dalam permintaan HTTP dan protokol respon. CSRF hadir dalam kebanyakan aplikasi web yang sedia ada.

Apakah itu CSRF?

CRSF iatu Cross Site Request Forgery juga dikenali sebagai SideJacking ataupun Click-Attack ,adalah sejenis kod jahat ( malicious code ).Banyak laman web gagal untuk melindungi terhadap mereka kerana kurang komuniti pembangunan web, dan apa-apa permohonan web tanpa dibina dalam kawalan CSRF adalah terdedah.

Punca Utama :

- Tingkah laku pelayar web arah sesi dan cookies.

- URL aplikasi web yang disasarkan pada sebelah penyerang.

- Kekurangan pengesahan semula dasar-dasar untuk tindakan perniagaan pada aplikasi web.

- Tag HTML untuk mengakses HTTP (s) sumber. (Tag img)

Perbezaan Antara CSRF dan XSS :

Banyak yang telah menyalah anggap bahawa CSRF dan XSS benda yang sama.Itu adalah satu kesalahan yang besar kerana CSRF berlainan sama sekali dengan CSRF.Dalam kes serangan XSS, penyerang mengeksploitasikan kekurangan input dan / atau penapisan output. Jika perubahan kepada permohonan yang menapis watak berbahaya seperti <,>, "', &,;, atau # boleh menyelesaikan kecacatan itu, maka ia tidak adalah satu isu CSRF tetapi isu XSS. CSRF adalah mengenai diramal struktur permohonan. XSS berkaitan dengan permohonan melaksanakan pengesahan data mencukupi.Kelemahan XSS boleh membenarkan memintas sebarang perlindungan CSRF dengan bocor nilai sah token, membenarkan pengepala referalnya muncul untuk menjadi permohonan itu sendiri, atau oleh hosting HTML dan elemen Javascript betul dalam permohonan sasaran.

Maaf jika terdapat kesalahan .Mohon tegur jika salah.