ให้เรตสมาชิก: 1 / 5

ดาวใช้งานดาวไม่ได้ใช้งานดาวไม่ได้ใช้งานดาวไม่ได้ใช้งานดาวไม่ได้ใช้งาน
 

มาทำความรู้จัก Cross Site Request Forgery (CSRF) เพื่อเพิ่มความปลอดภัยกับเว็บไซต์

การโจมตีเว็บสามารถถูกโจมตีจากช่องโหว่เช่น Buffer Overflow (บัฟเฟอร โอเวอฟลาว) ได้เช่นเดียวกันกับ Software (ซอฟต์แวร์) ทุกตัวในโลก แต่ช่องโหว่นั้น นับตั้งแต่ Bug (บั๊ก) ที่เปิดให้ผู้ใช้อัพโหลดสคริปต์ขึ้นไปรันบนเว็บได้ด้วยตัวเอง ไปจนถึงการตรวจสอบสิทธิผู้ใช้ด้วยยูอาร์แอลเพียงอย่างเดียว ทำให้เมื่อผู้ใช้แชร์ url (ยูอาร์แอล) ไป เกิดเหตุการณ์ข้อมูลส่วนตัวรั่วไปได้อย่างง่ายดาย

Cross Site Request Forgery (CSRF)
Cross Site Request Forgery (CSRF)

การโจมตีแบบ Cross-site Request Forgery หรือ CSRF เป็นเทคนิคการโจมตีเว็บไซต์ที่แฮ็คเกอร์นิยมใช้มากขึ้นเรื่อยๆ ซึ่งเป็นการโจมตีที่ใช้ประโยชน์จากความเชื่อของเว็บไซต์ที่มีต่อข้อมูล Input และเบราเซอร์จากผู้ใช้งาน คือ เหยื่อจะถูกหลอกให้กระทำการบางอย่างบนเว็บไซต์ปกติทั่วไป ที่ก่อให้เกิดประโยชน์ต่อแฮ็คเกอร์ในนามของตัวเหยื่อเอง โดยที่ตัวเหยื่อไม่ต้องการกระทำหรือกระทำไปโดยไม่รู้ตัว

หลักการโจมตี

  1. ผู้ใช้งาน login เพื่อทำซื่อขายสินค้า
  2. server ตอบกลับว่า login สำเร็จ
  3. ผู้ใช้งาน ทำการเข้าเว็บไซต์ www.kayride.com
  4. www.kayride.com ทำการสร้าง link ที่ใช้ในการโอนเงิน ส่งไปให้กับเว็บเบราเซอร์ของ user
  5. ว็บเบราเซอร์ทำการ redirect ไปตาม link ที่ www.kayride.com ส่งมา www.ธนาคาร.com ทำการโอนเงินไปให้กับ kayride เนื่องจากเป็น request ที่ถูกส่งมาจาก user ที่ทำการ login อยู่ในระบบแล้ว (ขั้นตอนนี้ แฮกเกอร์ สามารถขโมบเงินจากธนาคารของ ผู้ใช้เท่าไรก็ได้)

ในขั้นตอนของการ redirect kayride เทคนิคที่ใช้ <img> tag ดังตัวอย่างด้านล่าง

<img src="http://www.somebank.com?send_money_to=kayride_account&amount=10000000></img>

YouTube: ก็เคยถูกโจมตีด้วย CSRF เช่นกัน จากยูอาร์แอลของการเพิ่มวิดีโอเข้า playlist ที่ไม่มีการตรวจสอบล่วงหน้า และมี playlist พิเศษที่ทำให้ชื่อเป็น add_to_favorite ทำให้แฮกเกอร์สามารถเพิ่มวิดีโอที่ต้องการโปรโมทเข้าไปยังผู้ใช้ทุกคนได้

แนวทางการในการป้องกัน CSRF

CSRF มีสาเหตุหลักมาจากการที่เว็บไม่ได้ทำการตรวจสอบว่า request ที่ถูกส่งมาจากผู้ใช้งานนั้นถูกส่งมาจากผู้ใช้งานจริงโดยตั้งใจหรือไม่ ดังนั้น แนวทางในการป้องกัน CSRF ประกอบไปด้วย 3 วิธีหลัก ๆ ได้แก่

  1. Synchronizer Token Pattern
  2. HTTP referer header
  3. Re-authentication & CAPTCHA
CSRF
CSRF

 

Cross-site Request Forgery (CSRF) เป็นช่องโหว่ที่เกิดจากการที่ผู้ไม่หวังดีทำการสั่งให้เว็บเบราเซอร์ของเหยื่อส่งคำสั่งไปให้กับเว็บแอปพลิเคชัน CSRF สามารถสร้างผลกระทบต่อผู้ใช้งานอย่างร้ายแรง เช่น การโอนเงินจากบัญชีผู้ใช้งานไปยังบัญชีอื่นโดยที่ผู้ใช้งานไม่ได้ยินยอม แนวทางการป้องกัน CSRF ที่ดีที่สุด คือการใช้ Synchronizer Token Pattern ปัจจุบัน

กระทู้ล่าสุดจากเว็บบอร์ด
หัวข้อกระทู้
ตอบ
เปิดดู
ล่าสุด
งานประจำวันที่ 16 พฤศจิกายน 2562
โดย numtan5839 ส 16 พ.ย. 2019 10:28 am บอร์ด M097 - ตรีเนตร บูรณโพธิ์ทอง
4
16
ส 16 พ.ย. 2019 7:02 pm โดย numtan5839
หา theme language file ไม่เจอ
โดย bankjittapol ส 16 พ.ย. 2019 5:33 pm บอร์ด Joomla Development
2
26
ส 16 พ.ย. 2019 5:50 pm โดย bankjittapol
การใช้งาน Ultrasonic Sensor เซ็นเซอร์ที่ใช้สำหรับตรวจจับระยะห่างของวัดถุ
โดย bankjittapol ส 16 พ.ย. 2019 4:42 pm บอร์ด IOT - Internet of things
0
8
ส 16 พ.ย. 2019 4:42 pm โดย bankjittapol
อยากทราบการแสดงวันที่ในรูปแบบของ joomla
โดย bankjittapol ส 16 พ.ย. 2019 11:14 am บอร์ด Joomla Development
5
37
ส 16 พ.ย. 2019 4:56 pm โดย mindphp
Ultrasonic Sensor คืออะไร
โดย bankjittapol ส 16 พ.ย. 2019 3:40 pm บอร์ด IOT - Internet of things
0
13
ส 16 พ.ย. 2019 3:40 pm โดย bankjittapol
Database Normalization
โดย bankjittapol ศ 15 พ.ย. 2019 6:31 pm บอร์ด PHP Knowledge
1
27
ส 16 พ.ย. 2019 5:02 pm โดย Losa
วิธีการนำค่าจาก attribute ที่อยู่ใน element หนึ่ง ไปใส่ให้กับ attribute ที่อยู่ในอีก element หนึ่ง
โดย Ittichai_chupol ศ 15 พ.ย. 2019 6:29 pm บอร์ด Jquery & Ajax Knowledge
0
11
ศ 15 พ.ย. 2019 6:29 pm โดย Ittichai_chupol
VDO - Program Check Tracking Thailand Post
โดย numtan5839 อ 12 พ.ย. 2019 2:12 pm บอร์ด M097 - ตรีเนตร บูรณโพธิ์ทอง
4
26
ศ 15 พ.ย. 2019 6:24 pm โดย numtan5839
VDO - Square Root Calculate Program
โดย numtan5839 อ 12 พ.ย. 2019 11:57 am บอร์ด M097 - ตรีเนตร บูรณโพธิ์ทอง
5
23
ศ 15 พ.ย. 2019 6:23 pm โดย numtan5839
VDO - Program calculates the mean, the variable and the standard deviation.
โดย numtan5839 อ 12 พ.ย. 2019 11:26 am บอร์ด M097 - ตรีเนตร บูรณโพธิ์ทอง
4
35
ศ 15 พ.ย. 2019 6:23 pm โดย numtan5839
วิธีการทำ listbox สำหรบเลือกวันที่จากปัจจุบันย้อนหลังไป 20 วัน
โดย Ittichai_chupol ศ 15 พ.ย. 2019 5:58 pm บอร์ด PHP Knowledge
0
24
ศ 15 พ.ย. 2019 5:58 pm โดย Ittichai_chupol
การใช้ box-shadow เพื่อสร้างเงาให้ กรอบกล่องข้อความ
โดย bankjittapol ศ 15 พ.ย. 2019 5:56 pm บอร์ด CSS Knowledge
0
23
ศ 15 พ.ย. 2019 5:56 pm โดย bankjittapol
R - mdsoft_member_royalty ระบบจัดระดับสมาชิก ปรับ Level ลูกค้าอัตโนมัติ
โดย thatsawan อ 12 ก.พ. 2019 6:14 pm บอร์ด สิริกิตติรัตน์ - Developer
9
37
ศ 15 พ.ย. 2019 5:56 pm โดย mindphp
innerHTML คำสั่ง javascript ที่จะทำให้สามารถแสดงข้อความแทนที่ข้อความในแท็ก HTML
โดย jamepiyawat ศ 15 พ.ย. 2019 3:47 pm บอร์ด Jquery & Ajax Knowledge
4
29
ส 16 พ.ย. 2019 10:27 am โดย jamepiyawat
หลักการตั้งชื่อไฟล์เพื่อให้สื่อกับทีมง่าย
โดย numtan5839 ศ 15 พ.ย. 2019 3:20 pm บอร์ด พูดคุยเรื่องทั่วไป จับฉ่าย
0
13
ศ 15 พ.ย. 2019 3:20 pm โดย numtan5839
การใช้ .text() .html() และ .val() เพื่อเปลี่ยนข้อความ เมื่อกดปุ่ม
โดย bankjittapol ศ 15 พ.ย. 2019 2:17 pm บอร์ด Jquery & Ajax Knowledge
0
29
ศ 15 พ.ย. 2019 2:17 pm โดย bankjittapol
วงจรสี (Colour Wheel)
โดย numtan5839 ศ 15 พ.ย. 2019 2:13 pm บอร์ด พูดคุยเรื่องทั่วไป จับฉ่าย
2
42
ศ 15 พ.ย. 2019 3:33 pm โดย numtan5839
จะเรียกใช้ api ของกรมอุตุ ได้อย่างไรครับ
โดย jamepiyawat พ 06 พ.ย. 2019 3:02 pm บอร์ด Programming - PHP
2
75
ศ 15 พ.ย. 2019 1:44 pm โดย aloha11x
การใส่ Intro Outro และการตัดต่อ VDO
โดย numtan5839 ศ 15 พ.ย. 2019 1:41 pm บอร์ด M097 - ตรีเนตร บูรณโพธิ์ทอง
0
14
ศ 15 พ.ย. 2019 1:41 pm โดย numtan5839
ต้องการให้ ฐานข้อมูลบันทึกที่อยู่ของ รูปภาพ
โดย bankjittapol พ 06 พ.ย. 2019 3:51 pm บอร์ด Programming - PHP
3
63
ศ 15 พ.ย. 2019 5:19 pm โดย Losa