ให้เรตสมาชิก: 1 / 5

ดาวใช้งานดาวไม่ได้ใช้งานดาวไม่ได้ใช้งานดาวไม่ได้ใช้งานดาวไม่ได้ใช้งาน
 

มาทำความรู้จัก Cross Site Request Forgery (CSRF) เพื่อเพิ่มความปลอดภัยกับเว็บไซต์

การโจมตีเว็บสามารถถูกโจมตีจากช่องโหว่เช่น Buffer Overflow (บัฟเฟอร โอเวอฟลาว) ได้เช่นเดียวกันกับ Software (ซอฟต์แวร์) ทุกตัวในโลก แต่ช่องโหว่นั้น นับตั้งแต่ Bug (บั๊ก) ที่เปิดให้ผู้ใช้อัพโหลดสคริปต์ขึ้นไปรันบนเว็บได้ด้วยตัวเอง ไปจนถึงการตรวจสอบสิทธิผู้ใช้ด้วยยูอาร์แอลเพียงอย่างเดียว ทำให้เมื่อผู้ใช้แชร์ url (ยูอาร์แอล) ไป เกิดเหตุการณ์ข้อมูลส่วนตัวรั่วไปได้อย่างง่ายดาย

Cross Site Request Forgery (CSRF)
Cross Site Request Forgery (CSRF)

การโจมตีแบบ Cross-site Request Forgery หรือ CSRF เป็นเทคนิคการโจมตีเว็บไซต์ที่แฮ็คเกอร์นิยมใช้มากขึ้นเรื่อยๆ ซึ่งเป็นการโจมตีที่ใช้ประโยชน์จากความเชื่อของเว็บไซต์ที่มีต่อข้อมูล Input และเบราเซอร์จากผู้ใช้งาน คือ เหยื่อจะถูกหลอกให้กระทำการบางอย่างบนเว็บไซต์ปกติทั่วไป ที่ก่อให้เกิดประโยชน์ต่อแฮ็คเกอร์ในนามของตัวเหยื่อเอง โดยที่ตัวเหยื่อไม่ต้องการกระทำหรือกระทำไปโดยไม่รู้ตัว

หลักการโจมตี

  1. ผู้ใช้งาน login เพื่อทำซื่อขายสินค้า
  2. server ตอบกลับว่า login สำเร็จ
  3. ผู้ใช้งาน ทำการเข้าเว็บไซต์ www.kayride.com
  4. www.kayride.com ทำการสร้าง link ที่ใช้ในการโอนเงิน ส่งไปให้กับเว็บเบราเซอร์ของ user
  5. ว็บเบราเซอร์ทำการ redirect ไปตาม link ที่ www.kayride.com ส่งมา www.ธนาคาร.com ทำการโอนเงินไปให้กับ kayride เนื่องจากเป็น request ที่ถูกส่งมาจาก user ที่ทำการ login อยู่ในระบบแล้ว (ขั้นตอนนี้ แฮกเกอร์ สามารถขโมบเงินจากธนาคารของ ผู้ใช้เท่าไรก็ได้)

ในขั้นตอนของการ redirect kayride เทคนิคที่ใช้ <img> tag ดังตัวอย่างด้านล่าง

<img src="http://www.somebank.com?send_money_to=kayride_account&amount=10000000></img>

YouTube: ก็เคยถูกโจมตีด้วย CSRF เช่นกัน จากยูอาร์แอลของการเพิ่มวิดีโอเข้า playlist ที่ไม่มีการตรวจสอบล่วงหน้า และมี playlist พิเศษที่ทำให้ชื่อเป็น add_to_favorite ทำให้แฮกเกอร์สามารถเพิ่มวิดีโอที่ต้องการโปรโมทเข้าไปยังผู้ใช้ทุกคนได้

แนวทางการในการป้องกัน CSRF

CSRF มีสาเหตุหลักมาจากการที่เว็บไม่ได้ทำการตรวจสอบว่า request ที่ถูกส่งมาจากผู้ใช้งานนั้นถูกส่งมาจากผู้ใช้งานจริงโดยตั้งใจหรือไม่ ดังนั้น แนวทางในการป้องกัน CSRF ประกอบไปด้วย 3 วิธีหลัก ๆ ได้แก่

  1. Synchronizer Token Pattern
  2. HTTP referer header
  3. Re-authentication & CAPTCHA
CSRF
CSRF

 

Cross-site Request Forgery (CSRF) เป็นช่องโหว่ที่เกิดจากการที่ผู้ไม่หวังดีทำการสั่งให้เว็บเบราเซอร์ของเหยื่อส่งคำสั่งไปให้กับเว็บแอปพลิเคชัน CSRF สามารถสร้างผลกระทบต่อผู้ใช้งานอย่างร้ายแรง เช่น การโอนเงินจากบัญชีผู้ใช้งานไปยังบัญชีอื่นโดยที่ผู้ใช้งานไม่ได้ยินยอม แนวทางการป้องกัน CSRF ที่ดีที่สุด คือการใช้ Synchronizer Token Pattern ปัจจุบัน

กระทู้ล่าสุดจากเว็บบอร์ด
หัวข้อกระทู้
ตอบ
เปิดดู
ล่าสุด
Components MDFiles 사용 지침과 설명
โดย wipaporn พ 20 ก.พ. 2019 7:13 pm บอร์ด korean Language - 한국어
0
2
พ 20 ก.พ. 2019 7:13 pm โดย wipaporn
Features Review : Mod Menu Json untuk menyemak Nama Domain dan memaparkan artikel dari master side
โดย abdkode พ 20 ก.พ. 2019 6:53 pm บอร์ด Bahasa Language
0
5
พ 20 ก.พ. 2019 6:53 pm โดย abdkode
Module MDFiles Recent 사용 지침과 설명
โดย wipaporn พ 20 ก.พ. 2019 6:50 pm บอร์ด korean Language - 한국어
0
3
พ 20 ก.พ. 2019 6:50 pm โดย wipaporn
Module MDFiles Categories 사용 지침과 설명
โดย wipaporn พ 20 ก.พ. 2019 6:41 pm บอร์ด korean Language - 한국어
0
3
พ 20 ก.พ. 2019 6:41 pm โดย wipaporn
Features Review :Mod Lastnews json slider untuk ambil artikel dari Master Site dipaparkan di Web Client secara Slide.
โดย abdkode พ 20 ก.พ. 2019 6:11 pm บอร์ด Bahasa Language
0
3
พ 20 ก.พ. 2019 6:11 pm โดย abdkode
Component MJForm 사용 지침과 설명
โดย wipaporn พ 20 ก.พ. 2019 5:59 pm บอร์ด korean Language - 한국어
0
5
พ 20 ก.พ. 2019 5:59 pm โดย wipaporn
Features Review : M Multisite Content untuk mengedarkan data dari Master Site ke Webclient
โดย abdkode พ 20 ก.พ. 2019 5:23 pm บอร์ด Bahasa Language
0
5
พ 20 ก.พ. 2019 5:23 pm โดย abdkode
使用 Plugin Editors XTD Multicontent 说明手册
โดย wipaporn พ 20 ก.พ. 2019 5:18 pm บอร์ด Chinese Language - 简体中文
0
3
พ 20 ก.พ. 2019 5:18 pm โดย wipaporn
使用 Module M Slideshows 说明手册
โดย wipaporn พ 20 ก.พ. 2019 4:56 pm บอร์ด Chinese Language - 简体中文
0
4
พ 20 ก.พ. 2019 4:56 pm โดย wipaporn
使用 Component M Multisite Master 说明手册
โดย wipaporn พ 20 ก.พ. 2019 4:30 pm บอร์ด Chinese Language - 简体中文
0
4
พ 20 ก.พ. 2019 4:30 pm โดย wipaporn
หายใจเข้าพุทธ หายใจออก
โดย จันนุสรณ์ ดีแก่ พ 20 ก.พ. 2019 4:16 pm บอร์ด พูดคุยเรื่องทั่วไป จับฉ่าย
0
7
พ 20 ก.พ. 2019 4:16 pm โดย จันนุสรณ์ ดีแก่
使用 Component M Multisite Client 说明手册
โดย wipaporn พ 20 ก.พ. 2019 4:06 pm บอร์ด Chinese Language - 简体中文
0
4
พ 20 ก.พ. 2019 4:06 pm โดย wipaporn
Features Review : M MultiSite Content client Komponen untuk merekodkan Nama Domain Master Site
โดย abdkode พ 20 ก.พ. 2019 3:51 pm บอร์ด Bahasa Language
0
2
พ 20 ก.พ. 2019 3:51 pm โดย abdkode
อยากทราบวิธีการส่งลิ้งค์ไป ่ javasript แบบอัตโนมัติ
โดย Ittichai_chupol พ 20 ก.พ. 2019 3:44 pm บอร์ด Programming - PHP
0
9
พ 20 ก.พ. 2019 3:44 pm โดย Ittichai_chupol
使用Module MDFiles Popular 说明手册
โดย wipaporn พ 20 ก.พ. 2019 3:35 pm บอร์ด Chinese Language - 简体中文
0
5
พ 20 ก.พ. 2019 3:35 pm โดย wipaporn
Features Review : MDFiles Documents membantu menghubungkan artikel ke Component MDFiles
โดย abdkode พ 20 ก.พ. 2019 3:33 pm บอร์ด Bahasa Language
0
2
พ 20 ก.พ. 2019 3:33 pm โดย abdkode
使用 Module MDFiles Featured 说明手册
โดย wipaporn พ 20 ก.พ. 2019 3:04 pm บอร์ด Chinese Language - 简体中文
0
7
พ 20 ก.พ. 2019 3:04 pm โดย wipaporn
使用Module MDFiles Categories 说明手册
โดย wipaporn พ 20 ก.พ. 2019 2:31 pm บอร์ด Chinese Language - 简体中文
0
10
พ 20 ก.พ. 2019 2:31 pm โดย wipaporn
使用 Module MDfiles recent 说明手册
โดย wipaporn พ 20 ก.พ. 2019 2:29 pm บอร์ด Chinese Language - 简体中文
0
14
พ 20 ก.พ. 2019 2:29 pm โดย wipaporn
Q - เพิ่มเงื่อนไข Permission ยังไงค่ะ
โดย Parichat พ 20 ก.พ. 2019 2:16 pm บอร์ด Joomla Dev
0
2
พ 20 ก.พ. 2019 2:16 pm โดย Parichat