Wikipedia

Forfalskning av forespørsler på tvers av nettsteder

type ondsinnet utnyttelse av et nettsted ved at uautoriserte kommandoer overføres fra en bruker som nettapplikasjonen stoler på, eksempelvis ved bruk av bildekoder, skjulte skjemaer, XMLHttpRequest, etc.
(Omdirigert fra «Cross-site request forgery»)
Opprydning: Denne artikkelen trenger en opprydning for å oppfylle Wikipedias kvalitetskrav. Du kan hjelpe Wikipedia ved å forbedre den. Mangler som er blitt anført: wikify og utdype noe

Forfalskning av forespørsler på tvers av nettsteder[1][2] (engelsk: cross-site request forgery, CSRF) er ondsinnet datakode som er innfelt på en nettside som blir presentert til klienter av en server. Koden forleder klientmaskinen til å utføre uønskede, gjerne skadelige, operasjoner.

CSRF er et speilbilde av XSS-angrep. Mens et XSS-angrep utnytter nettstedets tillit til eksterne brukere, utnytter et CSRF-angrep brukernes tillit til nettstedet ved å lure dem til å tro at overført data kommer fra nettstedet.

Om for eksempel en person er logget inn på et nettsted, A, hvor webskjemaet for å bytte passord er ubeskyttet, kan et annet nettsted utnytte dette ved å ha et JavaScript på sin side som endrer passordet på nettsted A ved å sende en forespørsel om det. En slik forespørsel vil virke helt legitim i nettsted A, fordi det er nettleseren som iverksetter det.

Eksempler på CSRF-angrep i HTML-kode:

  • <img src="www.websidensomskalfåCSRF.com/logout"> – Dette vil logge ut alle brukere som besøker en profil umiddelbart.
  • <img src="webside.com/user=delete"> – Dette ville slette alle brukere som besøker en profil.

Se også rediger

Referanser rediger

  1. ^ «Adobe – sikkerhetsbulletin». 
  2. ^ BrianShook. «Samsvar for informasjonskapsel - Commerce | Dynamics 365». docs.microsoft.com. Besøkt 7. november 2021. 
Hentet fra «https://no.wikipedia.org/w/index.php?title=Forfalskning_av_forespørsler_på_tvers_av_nettsteder&oldid=24074609»