ให้เรตสมาชิก: 1 / 5

ดาวใช้งานดาวไม่ได้ใช้งานดาวไม่ได้ใช้งานดาวไม่ได้ใช้งานดาวไม่ได้ใช้งาน
 

มาทำความรู้จัก Cross Site Request Forgery (CSRF) เพื่อเพิ่มความปลอดภัยกับเว็บไซต์

การโจมตีเว็บสามารถถูกโจมตีจากช่องโหว่เช่น Buffer Overflow (บัฟเฟอร โอเวอฟลาว) ได้เช่นเดียวกันกับ Software (ซอฟต์แวร์) ทุกตัวในโลก แต่ช่องโหว่นั้น นับตั้งแต่ Bug (บั๊ก) ที่เปิดให้ผู้ใช้อัพโหลดสคริปต์ขึ้นไปรันบนเว็บได้ด้วยตัวเอง ไปจนถึงการตรวจสอบสิทธิผู้ใช้ด้วยยูอาร์แอลเพียงอย่างเดียว ทำให้เมื่อผู้ใช้แชร์ url (ยูอาร์แอล) ไป เกิดเหตุการณ์ข้อมูลส่วนตัวรั่วไปได้อย่างง่ายดาย

Cross Site Request Forgery (CSRF)
Cross Site Request Forgery (CSRF)

การโจมตีแบบ Cross-site Request Forgery หรือ CSRF เป็นเทคนิคการโจมตีเว็บไซต์ที่แฮ็คเกอร์นิยมใช้มากขึ้นเรื่อยๆ ซึ่งเป็นการโจมตีที่ใช้ประโยชน์จากความเชื่อของเว็บไซต์ที่มีต่อข้อมูล Input และเบราเซอร์จากผู้ใช้งาน คือ เหยื่อจะถูกหลอกให้กระทำการบางอย่างบนเว็บไซต์ปกติทั่วไป ที่ก่อให้เกิดประโยชน์ต่อแฮ็คเกอร์ในนามของตัวเหยื่อเอง โดยที่ตัวเหยื่อไม่ต้องการกระทำหรือกระทำไปโดยไม่รู้ตัว

หลักการโจมตี

  1. ผู้ใช้งาน login เพื่อทำซื่อขายสินค้า
  2. server ตอบกลับว่า login สำเร็จ
  3. ผู้ใช้งาน ทำการเข้าเว็บไซต์ www.kayride.com
  4. www.kayride.com ทำการสร้าง link ที่ใช้ในการโอนเงิน ส่งไปให้กับเว็บเบราเซอร์ของ user
  5. ว็บเบราเซอร์ทำการ redirect ไปตาม link ที่ www.kayride.com ส่งมา www.ธนาคาร.com ทำการโอนเงินไปให้กับ kayride เนื่องจากเป็น request ที่ถูกส่งมาจาก user ที่ทำการ login อยู่ในระบบแล้ว (ขั้นตอนนี้ แฮกเกอร์ สามารถขโมบเงินจากธนาคารของ ผู้ใช้เท่าไรก็ได้)

ในขั้นตอนของการ redirect kayride เทคนิคที่ใช้ <img> tag ดังตัวอย่างด้านล่าง

<img src="http://www.somebank.com?send_money_to=kayride_account&amount=10000000></img>

YouTube: ก็เคยถูกโจมตีด้วย CSRF เช่นกัน จากยูอาร์แอลของการเพิ่มวิดีโอเข้า playlist ที่ไม่มีการตรวจสอบล่วงหน้า และมี playlist พิเศษที่ทำให้ชื่อเป็น add_to_favorite ทำให้แฮกเกอร์สามารถเพิ่มวิดีโอที่ต้องการโปรโมทเข้าไปยังผู้ใช้ทุกคนได้

แนวทางการในการป้องกัน CSRF

CSRF มีสาเหตุหลักมาจากการที่เว็บไม่ได้ทำการตรวจสอบว่า request ที่ถูกส่งมาจากผู้ใช้งานนั้นถูกส่งมาจากผู้ใช้งานจริงโดยตั้งใจหรือไม่ ดังนั้น แนวทางในการป้องกัน CSRF ประกอบไปด้วย 3 วิธีหลัก ๆ ได้แก่

  1. Synchronizer Token Pattern
  2. HTTP referer header
  3. Re-authentication & CAPTCHA
CSRF
CSRF

 

Cross-site Request Forgery (CSRF) เป็นช่องโหว่ที่เกิดจากการที่ผู้ไม่หวังดีทำการสั่งให้เว็บเบราเซอร์ของเหยื่อส่งคำสั่งไปให้กับเว็บแอปพลิเคชัน CSRF สามารถสร้างผลกระทบต่อผู้ใช้งานอย่างร้ายแรง เช่น การโอนเงินจากบัญชีผู้ใช้งานไปยังบัญชีอื่นโดยที่ผู้ใช้งานไม่ได้ยินยอม แนวทางการป้องกัน CSRF ที่ดีที่สุด คือการใช้ Synchronizer Token Pattern ปัจจุบัน

กระทู้ล่าสุดจากเว็บบอร์ด
หัวข้อกระทู้
ตอบ
เปิดดู
ล่าสุด
R - mod_jshopping_products_reviews โมดูลการรีวิวสินค้า
โดย pprn พฤ 20 ก.ย. 2018 6:58 pm บอร์ด MT25 - นางสาวปรียากมล รินนาศักดิ์
1
6
พฤ 20 ก.ย. 2018 7:02 pm โดย pprn
phpbb ติดตั้งภาษาไทยไม่ได้
โดย Ittichai_chupol พฤ 20 ก.ย. 2018 6:52 pm บอร์ด Programming - PHP
0
5
พฤ 20 ก.ย. 2018 6:52 pm โดย Ittichai_chupol
R-mdsoft_create_generate_opening_entries
โดย tatiya พฤ 20 ก.ย. 2018 6:36 pm บอร์ด M065 - ตติยะ นาชัย
1
6
พฤ 20 ก.ย. 2018 9:42 pm โดย tatiya
R-mdsoft_change_product_type_stockable
โดย tatiya พฤ 20 ก.ย. 2018 6:32 pm บอร์ด M065 - ตติยะ นาชัย
1
8
พฤ 20 ก.ย. 2018 9:08 pm โดย tatiya
phpbb ubuntu ติดตั้งอย่างไร
โดย Ittichai_chupol พฤ 20 ก.ย. 2018 5:13 pm บอร์ด Programming - PHP
3
11
พฤ 20 ก.ย. 2018 5:38 pm โดย Ittichai_chupol
แนะนำ จังหวัดจันทบุรี จากคำขวัญ ส่วนที่ 1
โดย Ittichai_chupol พฤ 20 ก.ย. 2018 4:17 pm บอร์ด พูดคุยเรื่องทั่วไป จับฉ่าย
0
8
พฤ 20 ก.ย. 2018 4:17 pm โดย Ittichai_chupol
อยากจะทราบว่า ทำอย่างไรให้สามารถ รัน php บน ubuntu
โดย Ittichai_chupol พฤ 20 ก.ย. 2018 4:10 pm บอร์ด Programming - PHP
0
6
พฤ 20 ก.ย. 2018 4:10 pm โดย Ittichai_chupol
บันทึกการรับสินค้า โดยการกรองราคาสินค้า พร้อมคำนวนต้นทุนเฉลีย php
โดย Ittichai_chupol พฤ 20 ก.ย. 2018 3:09 pm บอร์ด PHP Knowledge
0
7
พฤ 20 ก.ย. 2018 3:09 pm โดย Ittichai_chupol
php การตรวจสอบการชำระเงินค่าสินค้าเกินกำหนด
โดย Ittichai_chupol พฤ 20 ก.ย. 2018 1:56 pm บอร์ด PHP Knowledge
0
11
พฤ 20 ก.ย. 2018 1:56 pm โดย Ittichai_chupol
php function แปลงวันที่จากฐานข้อมูล เป็นวันที่ แบบไทย อย่างง่าย
โดย Ittichai_chupol พฤ 20 ก.ย. 2018 10:35 am บอร์ด Programming - PHP
0
13
พฤ 20 ก.ย. 2018 10:35 am โดย Ittichai_chupol
งานประจำวันที่ 20 กันยายน 2561
โดย prakon พฤ 20 ก.ย. 2018 10:16 am บอร์ด MT24 - นายปกรณ์ วิริยะธนวิโรจน์
1
28
พฤ 20 ก.ย. 2018 10:17 am โดย prakon
งานประจำวันที่ 20 กันยายน 2561
โดย pprn พฤ 20 ก.ย. 2018 10:11 am บอร์ด MT25 - นางสาวปรียากมล รินนาศักดิ์
1
11
พฤ 20 ก.ย. 2018 7:10 pm โดย pprn
งานประจำวันที่ 20 กันยายน 2561
โดย muneela พฤ 20 ก.ย. 2018 10:10 am บอร์ด M068 - มุนีลา หมัดบาซา
1
7
พฤ 20 ก.ย. 2018 7:04 pm โดย muneela
งานประจำวันที่ 20 กันยายน 2561
โดย tai14 พฤ 20 ก.ย. 2018 10:03 am บอร์ด MT26 - นางสาวอัครยุภา ยงยุทธ
1
4
พฤ 20 ก.ย. 2018 7:02 pm โดย tai14
งานประจำวันที่ 20 กันยายน 2561
โดย Ittichai_chupol พฤ 20 ก.ย. 2018 9:58 am บอร์ด M070 - อิทธิชัย ชูผล
1
9
พฤ 20 ก.ย. 2018 7:05 pm โดย Ittichai_chupol
งานประจำวันที่ 20 กันยายน 2561
โดย tatiya พฤ 20 ก.ย. 2018 9:23 am บอร์ด M065 - ตติยะ นาชัย
0
5
พฤ 20 ก.ย. 2018 9:23 am โดย tatiya
checkbox พร้อมกรองจำนวน
โดย Ittichai_chupol พ 19 ก.ย. 2018 5:49 pm บอร์ด Programming - PHP
0
28
พ 19 ก.ย. 2018 5:49 pm โดย Ittichai_chupol
การทำแผ่นรองเมาส์สำหรับวัยทำงานแบบง่าย
โดย Ittichai_chupol พ 19 ก.ย. 2018 4:53 pm บอร์ด พูดคุยเรื่องทั่วไป จับฉ่าย
0
23
พ 19 ก.ย. 2018 4:53 pm โดย Ittichai_chupol
การทำข้าวขย้ำกล้วย ให้เด็ก อายุ 3 - 6 เดือน
โดย Ittichai_chupol พ 19 ก.ย. 2018 4:51 pm บอร์ด พูดคุยเรื่องทั่วไป จับฉ่าย
0
12
พ 19 ก.ย. 2018 4:51 pm โดย Ittichai_chupol
สถานที่ท่องเทียวน่าสนใจ อุทยานแห่งชาติน้ำตกพลิ้ว จังหวัดจันทบุรี
โดย Ittichai_chupol พ 19 ก.ย. 2018 4:48 pm บอร์ด พูดคุยเรื่องทั่วไป จับฉ่าย
0
12
พ 19 ก.ย. 2018 4:48 pm โดย Ittichai_chupol