ให้เรตสมาชิก: 1 / 5

ดาวใช้งานดาวไม่ได้ใช้งานดาวไม่ได้ใช้งานดาวไม่ได้ใช้งานดาวไม่ได้ใช้งาน
 

มาทำความรู้จัก Cross Site Request Forgery (CSRF) เพื่อเพิ่มความปลอดภัยกับเว็บไซต์

การโจมตีเว็บสามารถถูกโจมตีจากช่องโหว่เช่น Buffer Overflow (บัฟเฟอร โอเวอฟลาว) ได้เช่นเดียวกันกับ Software (ซอฟต์แวร์) ทุกตัวในโลก แต่ช่องโหว่นั้น นับตั้งแต่ Bug (บั๊ก) ที่เปิดให้ผู้ใช้อัพโหลดสคริปต์ขึ้นไปรันบนเว็บได้ด้วยตัวเอง ไปจนถึงการตรวจสอบสิทธิผู้ใช้ด้วยยูอาร์แอลเพียงอย่างเดียว ทำให้เมื่อผู้ใช้แชร์ url (ยูอาร์แอล) ไป เกิดเหตุการณ์ข้อมูลส่วนตัวรั่วไปได้อย่างง่ายดาย

Cross Site Request Forgery (CSRF)
Cross Site Request Forgery (CSRF)

การโจมตีแบบ Cross-site Request Forgery หรือ CSRF เป็นเทคนิคการโจมตีเว็บไซต์ที่แฮ็คเกอร์นิยมใช้มากขึ้นเรื่อยๆ ซึ่งเป็นการโจมตีที่ใช้ประโยชน์จากความเชื่อของเว็บไซต์ที่มีต่อข้อมูล Input และเบราเซอร์จากผู้ใช้งาน คือ เหยื่อจะถูกหลอกให้กระทำการบางอย่างบนเว็บไซต์ปกติทั่วไป ที่ก่อให้เกิดประโยชน์ต่อแฮ็คเกอร์ในนามของตัวเหยื่อเอง โดยที่ตัวเหยื่อไม่ต้องการกระทำหรือกระทำไปโดยไม่รู้ตัว

หลักการโจมตี

  1. ผู้ใช้งาน login เพื่อทำซื่อขายสินค้า
  2. server ตอบกลับว่า login สำเร็จ
  3. ผู้ใช้งาน ทำการเข้าเว็บไซต์ www.kayride.com
  4. www.kayride.com ทำการสร้าง link ที่ใช้ในการโอนเงิน ส่งไปให้กับเว็บเบราเซอร์ของ user
  5. ว็บเบราเซอร์ทำการ redirect ไปตาม link ที่ www.kayride.com ส่งมา www.ธนาคาร.com ทำการโอนเงินไปให้กับ kayride เนื่องจากเป็น request ที่ถูกส่งมาจาก user ที่ทำการ login อยู่ในระบบแล้ว (ขั้นตอนนี้ แฮกเกอร์ สามารถขโมบเงินจากธนาคารของ ผู้ใช้เท่าไรก็ได้)

ในขั้นตอนของการ redirect kayride เทคนิคที่ใช้ <img> tag ดังตัวอย่างด้านล่าง

<img src="http://www.somebank.com?send_money_to=kayride_account&amount=10000000></img>

YouTube: ก็เคยถูกโจมตีด้วย CSRF เช่นกัน จากยูอาร์แอลของการเพิ่มวิดีโอเข้า playlist ที่ไม่มีการตรวจสอบล่วงหน้า และมี playlist พิเศษที่ทำให้ชื่อเป็น add_to_favorite ทำให้แฮกเกอร์สามารถเพิ่มวิดีโอที่ต้องการโปรโมทเข้าไปยังผู้ใช้ทุกคนได้

แนวทางการในการป้องกัน CSRF

CSRF มีสาเหตุหลักมาจากการที่เว็บไม่ได้ทำการตรวจสอบว่า request ที่ถูกส่งมาจากผู้ใช้งานนั้นถูกส่งมาจากผู้ใช้งานจริงโดยตั้งใจหรือไม่ ดังนั้น แนวทางในการป้องกัน CSRF ประกอบไปด้วย 3 วิธีหลัก ๆ ได้แก่

  1. Synchronizer Token Pattern
  2. HTTP referer header
  3. Re-authentication & CAPTCHA
CSRF
CSRF

 

Cross-site Request Forgery (CSRF) เป็นช่องโหว่ที่เกิดจากการที่ผู้ไม่หวังดีทำการสั่งให้เว็บเบราเซอร์ของเหยื่อส่งคำสั่งไปให้กับเว็บแอปพลิเคชัน CSRF สามารถสร้างผลกระทบต่อผู้ใช้งานอย่างร้ายแรง เช่น การโอนเงินจากบัญชีผู้ใช้งานไปยังบัญชีอื่นโดยที่ผู้ใช้งานไม่ได้ยินยอม แนวทางการป้องกัน CSRF ที่ดีที่สุด คือการใช้ Synchronizer Token Pattern ปัจจุบัน

กระทู้ล่าสุดจากเว็บบอร์ด
หัวข้อกระทู้
ตอบ
เปิดดู
ล่าสุด
Q - ไม่สามารถลิงค์ข้อความในเว็บ ของ Joomla ได้
โดย prakon พฤ 19 ก.ค. 2018 12:27 pm บอร์ด ปัญหาการใช้ phpBB3, SMF, Joomla, Wordpress, CMS CRM
2
16
พฤ 19 ก.ค. 2018 1:08 pm โดย AePongsak
ทำการกด edit ภาพแล้ว ทำยังไงให้ไปทับภาพเดิมหรือลบภาพเดิมครับ
โดย mollyclick พฤ 19 ก.ค. 2018 11:04 am บอร์ด Programming - PHP
5
18
พฤ 19 ก.ค. 2018 12:15 pm โดย tsukasaz
งานประจำวันที่ 19 กรกฏาคม 2561
โดย pprn พฤ 19 ก.ค. 2018 10:45 am บอร์ด MT25 - นางสาวปรียากมล รินนาศักดิ์
0
6
พฤ 19 ก.ค. 2018 10:45 am โดย pprn
งานประจำวันที่ 19 กรกฎาคม 2561
โดย tatiya พฤ 19 ก.ค. 2018 9:57 am บอร์ด M065 - ตติยะ นาชัย
0
1
พฤ 19 ก.ค. 2018 9:57 am โดย tatiya
มี Error mysqli_query() expects at least 2 parameters, 1 given แก้ตรงไหนครับ
โดย mollyclick พฤ 19 ก.ค. 2018 9:50 am บอร์ด Programming - PHP
2
13
พฤ 19 ก.ค. 2018 10:02 am โดย mollyclick
งานประจำวันที่ 19 กรกฎาคม 2561
โดย prakon พฤ 19 ก.ค. 2018 9:55 am บอร์ด MT24 - นายปกรณ์ วิริยะธนวิโรจน์
1
4
พฤ 19 ก.ค. 2018 11:06 am โดย prakon
หาวิธีลงวินโดโดยใช้ USB
โดย Anonymous พ 18 ก.ค. 2018 10:16 pm บอร์ด ถาม - ตอบ คอมพิวเตอร์
1
19
พ 18 ก.ค. 2018 11:07 pm โดย mindphp
สอบถามการเขียน Extension BBCode ที่จะ Query ข้อมูลจาก SQL ครับ
โดย AePongsak พ 18 ก.ค. 2018 6:35 pm บอร์ด ปัญหาการใช้ phpBB3, SMF, Joomla, Wordpress, CMS CRM
0
16
พ 18 ก.ค. 2018 6:35 pm โดย AePongsak
โปรแกรมแปลง VDO บน Linux/Ubuntu HandBrake
โดย AePongsak พ 18 ก.ค. 2018 3:50 pm บอร์ด ปัญหาการใช้ phpBB3, SMF, Joomla, Wordpress, CMS CRM
1
16
พ 18 ก.ค. 2018 4:03 pm โดย AePongsak
ติดปัญหาใช้งาน Camtasia 8 บน Windows XP (import ไฟล์ .mp4 ไม่ได้)
โดย AePongsak พ 18 ก.ค. 2018 3:38 pm บอร์ด ปัญหาการใช้ phpBB3, SMF, Joomla, Wordpress, CMS CRM
1
14
พ 18 ก.ค. 2018 4:05 pm โดย AePongsak
B - Joomshop package ในหน้าติดตั้งขึ้น Error
โดย Parichat พ 18 ก.ค. 2018 1:53 pm บอร์ด Joomla Development
0
13
พ 18 ก.ค. 2018 1:53 pm โดย Parichat
งานประจำวันที่ 18 กรกฎาคม 2561
โดย tatiya พ 18 ก.ค. 2018 9:59 am บอร์ด M065 - ตติยะ นาชัย
1
5
พ 18 ก.ค. 2018 7:33 pm โดย tatiya
งานประจำวันที่ 18 กรกฏาคม 2561
โดย pprn พ 18 ก.ค. 2018 9:57 am บอร์ด MT25 - นางสาวปรียากมล รินนาศักดิ์
1
21
พ 18 ก.ค. 2018 4:46 pm โดย pprn
งานประจำวันที่ 18 กรกฎาคม 2561
โดย prakon พ 18 ก.ค. 2018 9:27 am บอร์ด MT24 - นายปกรณ์ วิริยะธนวิโรจน์
1
18
พ 18 ก.ค. 2018 4:21 pm โดย prakon
B - หน้า Sale Orders Lines Client Error
โดย mindphp พ 18 ก.ค. 2018 4:33 am บอร์ด M.D.Soft Co.,Ltd. - Tester
0
2
พ 18 ก.ค. 2018 4:33 am โดย mindphp
การเชื่อมต่อฐานข้อมูลแบบ odbc คืออะไร แล้วทำยังไงคะ
โดย pprn อ 17 ก.ค. 2018 5:02 pm บอร์ด ปัญหาการใช้ phpBB3, SMF, Joomla, Wordpress, CMS CRM
3
48
อ 17 ก.ค. 2018 5:42 pm โดย thatsawan
[ปัญหา] สอบถามเกี่ยวกับวิธีติดตั้ง selenium ครับ
โดย tatiya อ 17 ก.ค. 2018 11:36 am บอร์ด Programming - C/C++ & java & Python
9
98
พ 18 ก.ค. 2018 12:02 pm โดย tatiya
งานประจำวันที่ 17 กรกฎาคม 2561
โดย tatiya อ 17 ก.ค. 2018 10:26 am บอร์ด M065 - ตติยะ นาชัย
1
9
อ 17 ก.ค. 2018 7:11 pm โดย tatiya
งานประจำวันที่ 17 กรกฏาคม 2561
โดย pprn อ 17 ก.ค. 2018 10:17 am บอร์ด MT25 - นางสาวปรียากมล รินนาศักดิ์
1
18
อ 17 ก.ค. 2018 2:20 pm โดย pprn
งานประจำวันที่ 17 กรกฎาคม 2561
โดย prakon อ 17 ก.ค. 2018 10:13 am บอร์ด MT24 - นายปกรณ์ วิริยะธนวิโรจน์
1
6
อ 17 ก.ค. 2018 11:05 am โดย prakon