क्रॉस-साइट रिक्वेस्ट फोर्जरी (CSRF) एक वेबसाइट की कमजोरियों के दोहन के सबसे पुराने तरीकों में से एक है। यह सर्वर-साइड वेब स्विच को लक्षित करता है जिसे आमतौर पर लॉग इन करने की तरह प्रमाणीकरण की आवश्यकता होती है। CSRF हमले के दौरान, एक हमलावर का लक्ष्य अपनी शिकार को अपनी ओर से एक अनधिकृत, दुर्भावनापूर्ण वेब अनुरोध करने के लिए मजबूर करना है।
कमजोर या खराब वेबसाइट सुरक्षा प्रथाओं और उपयोगकर्ता के मार्ग पर लापरवाही एक सफल CSRF हमले के कुछ सामान्य कारण हैं।
आइए देखें कि एक सीएसआरएफ हमला क्या है और संभावित तरीके आप खुद को डेवलपर या उपयोगकर्ता के रूप में इससे रोक सकते हैं।
CSRF अटैक आपको कैसे प्रभावित करते हैं?
एक सीएसआरएफ एक ऐसा हमला है जिसका उपयोग वेब कार्यों के दौरान अनधिकृत अनुरोधों को लागू करने के लिए किया जाता है जिनके लिए उपयोगकर्ता लॉगिन या प्रमाणीकरण की आवश्यकता होती है। CSRF हमले सत्र आईडी, कुकीज़, साथ ही अन्य सर्वर-आधारित कमजोरियों का लाभ उठाकर उपयोगकर्ता की साख को चुरा सकते हैं।
उदाहरण के लिए, एंटी-सीएसआरएफ प्रक्रियाओं को सक्षम करना क्रॉस-डोमेन दुर्भावनापूर्ण इंटरैक्शन को रोकता है।
एक बार जब यह अवरोध टूट जाता है, तो एक हमलावर उपयोगकर्ता के ब्राउज़र द्वारा बनाई गई कुकीज़ के माध्यम से उपयोगकर्ता के सत्र आईडी का लाभ उठा सकता है और स्क्रिप्ट टैग को कमजोर वेबसाइट में एम्बेड कर सकता है।
एक आईडी में हेरफेर करके, हमलावर आगंतुकों को किसी अन्य वेबपेज या शोषण पर भी पुनर्निर्देशित कर सकता है सामाजिक इंजीनियरिंग के तरीके लिंक भेजने के लिए ईमेल की तरह, दुर्भावनापूर्ण सॉफ़्टवेयर डाउनलोड करने के लिए पीड़ित को प्रोत्साहित करना।
जानें कि सामाजिक इंजीनियरिंग आपको कैसे प्रभावित कर सकती है, साथ ही इन योजनाओं से आपको पहचानने और सुरक्षित रहने में मदद करने के लिए सामान्य उदाहरण।
एक बार जब पीड़ित ऐसी कार्रवाई करता है, तो वह उपयोगकर्ता के सेवा पृष्ठ पर एक HTTP अनुरोध भेजता है और हमलावर के पक्ष में अनुरोध कार्रवाई को अधिकृत करता है। यह एक असुरक्षित उपयोगकर्ता के लिए विनाशकारी हो सकता है।
CSRF का एक सफल हमला अधिकृत उपयोगकर्ताओं को हमलावर तक पहुँच खो सकता है, विशेषकर पासवर्ड या उपयोगकर्ता नाम अनुरोध जैसे सर्वर-आधारित कार्यों के दौरान। बदतर परिदृश्यों में, हमलावर पूरे सत्र को लेता है और उपयोगकर्ताओं की ओर से कार्य करता है।
CSRF का उपयोग ओवर-द-वेब फंड लेनदेन के साथ-साथ उपयोगकर्ता नाम और पासवर्ड बदलने के लिए किया जाता है, जिससे उपयोगकर्ताओं को प्रभावित सेवा तक पहुंच खोनी पड़ती है।
हमलावर सीएसआरएफ के साथ आपके सत्रों का अपहरण कैसे करते हैं: उदाहरण
CSRF हमलों के लिए मुख्य लक्ष्य वेब क्रियाएं हैं जो उपयोगकर्ता के प्रमाणीकरण को शामिल करती हैं। सफल होने के लिए, इसे पीड़ित से अनजाने कार्यों की आवश्यकता होती है।
CSRF हमले के दौरान, GET, DELETE, और PUT क्रियाएं, साथ ही संवेदनशील POST अनुरोध एक हमलावर का मुख्य लक्ष्य हैं।
आइए उन शब्दों का अर्थ देखें:
- प्राप्त: डेटाबेस से एक परिणाम एकत्र करने का अनुरोध; उदाहरण के लिए, Google खोज।
- पद: आमतौर पर वेब फ़ॉर्म के माध्यम से अनुरोध भेजने के लिए। उपयोगकर्ता के पंजीकरण या लॉगिन के दौरान एक POST अनुरोध आम है, जिसे प्रमाणीकरण के रूप में जाना जाता है।
- DELETE: डेटाबेस से किसी संसाधन को निकालने के लिए। जब भी आप किसी विशेष वेब सेवा से अपना खाता हटाते हैं तो आप ऐसा करते हैं।
- लगाया हुआ: PUT अनुरोध किसी मौजूदा संसाधन को संशोधित या अपडेट करता है। एक उदाहरण है अपना फेसबुक नाम बदलना.
व्यवहार में, हमलावर CSRF हमले का बैक-अप करने के लिए सत्र अपहरण का उपयोग करते हैं। इस संयोजन का उपयोग करते समय, हमलावर पीड़ित के आईपी पते को बदलने के लिए अपहरण का उपयोग कर सकता है।
आईपी पते में परिवर्तन तब पीड़ित को एक नई वेबसाइट में लॉग इन करता है, जहां हमलावर ने एक धोखेबाज लिंक डाला है जो CSRF के माध्यम से बनाए गए प्रतिकृति फॉर्म या संशोधित सर्वर अनुरोध को सबमिट करता है।
एक असुरक्षित उपयोगकर्ता तब सोचता है कि पुनर्निर्देशन सेवा प्रदाता से आता है और हमलावर के वेबपेज पर लिंक पर क्लिक करता है। एक बार जब वे ऐसा कर लेते हैं, तो हैकर्स उनकी जानकारी के बिना पेज लोड पर एक फॉर्म जमा करते हैं।
GET अनुरोध CSRF हमले का उदाहरण
एक असुरक्षित ई-कॉमर्स प्लेटफॉर्म के माध्यम से ऑनलाइन भुगतान करने की कोशिश करने की कल्पना करें। प्लेटफ़ॉर्म स्वामी आपके लेनदेन को संसाधित करने के लिए GET अनुरोध का उपयोग करते हैं। वह GET क्वेरी इस तरह दिख सकती है:
https://websiteurl/pay? राशि = $ 10 और कंपनी = [कंपनी ABC का खाता]एक अपहरणकर्ता GET अनुरोध के मापदंडों को बदलकर आसानी से आपके लेनदेन को चुरा सकता है। ऐसा करने के लिए, उन्हें अपनी आवश्यकता के लिए अपना नाम स्वैप करना होगा, और इससे भी बदतर, उस राशि को बदलना होगा जिसे आप भुगतान करना चाहते हैं। वे फिर मूल क्वेरी को कुछ इस तरह से ट्वीक करते हैं:
https://websiteurl/pay? राशि = $ 20000 और कंपनी = [हमलावर का खाता]एक बार जब आप उस संशोधित GET अनुरोध के लिंक पर क्लिक करते हैं, तो आप हमलावर के खाते में एक अनजाने स्थानांतरण कर देते हैं।
GET अनुरोधों के माध्यम से लेन-देन करना बुरा व्यवहार है, और गतिविधियों को हमलों के लिए कमजोर बनाता है।
एक पोस्ट अनुरोध CSRF हमले का उदाहरण
हालांकि, कई डेवलपर्स का मानना है कि वेब लेनदेन करने के लिए POST अनुरोध का उपयोग करना अधिक सुरक्षित है। हालांकि यह सच है, दुर्भाग्य से, एक POST अनुरोध CSRF हमलों के लिए भी अतिसंवेदनशील है।
किसी POST अनुरोध को सफलतापूर्वक हाईजैक करने के लिए, हमलावर की सभी जरूरतों के लिए आपका वर्तमान सत्र ID, कुछ प्रतिकृति अदृश्य रूप, और कभी-कभी, थोड़ा सामाजिक इंजीनियरिंग होता है।
उदाहरण के लिए, एक POST अनुरोध फ़ॉर्म इस तरह दिखाई दे सकता है:
हालाँकि, एक हमलावर एक नया पृष्ठ बनाकर और ऊपर दिए गए फ़ॉर्म को संशोधित करके आपकी विश्वसनीयता को बदल सकता है:
हेरफेर के रूप में, हमलावर राशि फ़ील्ड का मान "30000" पर सेट करता है, स्वैप करता है प्राप्तकर्ता का खाता नंबर उनके पास है, पृष्ठ लोड पर फ़ॉर्म जमा करता है, और फॉर्म फ़ील्ड को भी छुपाता है प्रयोगकर्ता।
एक बार जब वे उस चालू सत्र को हाईजैक कर लेते हैं, तो आपका लेनदेन पृष्ठ हमलावर के पृष्ठ पर पुनर्निर्देशित करता है, जो आपको एक लिंक पर क्लिक करने के लिए प्रेरित करता है जिसे वे जानते हैं कि आप यात्रा करने की सबसे अधिक संभावना है।
इस पर क्लिक करने से प्रतिकृति फॉर्म जमा होता है, जो आपके धन को हमलावर के खाते में स्थानांतरित करता है। इसका मतलब है कि आपको लेन-देन के लिए "भेजें" जैसे बटन पर क्लिक करने की आवश्यकता नहीं है, क्योंकि जावास्क्रिप्ट स्वचालित रूप से अगले वेबपेज को लोड करने पर ऐसा करता है।
वैकल्पिक रूप से, एक हमलावर HTML-एम्बेडेड ईमेल का भी मसौदा तैयार कर सकता है जो आपको उसी पृष्ठ-लोड फ़ॉर्म को प्रस्तुत करने के लिए लिंक पर क्लिक करने के लिए प्रेरित करता है।
CSRF के हमले की चपेट में आने वाली एक और कार्रवाई एक उपयोगकर्ता नाम या पासवर्ड परिवर्तन, एक PUT अनुरोध का एक उदाहरण है। एक हमलावर आपके अनुरोध फ़ॉर्म को दोहराता है और आपके ईमेल पते को उनके साथ बदल देता है।
तब वे आपका सत्र चुराते हैं और या तो आपको एक पृष्ठ पर पुनः निर्देशित करते हैं या आपको एक ईमेल भेजते हैं जो आपको एक आकर्षक लिंक पर क्लिक करने के लिए प्रेरित करता है।
इसके बाद एक हेरफेर किया गया फॉर्म सबमिट होता है जो हैकर के ईमेल पते पर पासवर्ड रीसेट लिंक को आपकी जगह भेज देता है। इस तरह, हैकर आपका पासवर्ड बदल देता है और आपको अपने खाते से निकाल देता है।
डेवलपर के रूप में CSRF हमलों को कैसे रोकें
CSRF को रोकने के लिए सबसे अच्छे तरीकों में से एक सर्वर पर राज्य परिवर्तन चलाने के लिए सत्र कुकीज़ के आधार पर अक्सर बदलते टोकन का उपयोग करना है।
सम्बंधित: डिजिटल सुरक्षा को समझने और अपनी गोपनीयता की रक्षा करने के लिए गाइड
कई आधुनिक बैकएंड फ्रेमवर्क CSRF के खिलाफ सुरक्षा प्रदान करते हैं। इसलिए यदि आप स्वयं सीएसआरएफ के खिलाफ बीफ-अप की तकनीकी से बचना चाहते हैं, तो आप सर्वर-साइड फ्रेमवर्क का उपयोग करके इसे आसानी से निपटा सकते हैं जो अंतर्निर्मित सीएसआरएफ टोकन के साथ आते हैं।
जब आप एक एंटी-सीएसआरएफ टोकन का उपयोग करते हैं, तो सर्वर-आधारित अनुरोध अधिक स्थिर असुरक्षित सत्र कुकीज़ के बजाय यादृच्छिक तार उत्पन्न करते हैं। इस तरह, आपको अपने सत्र को अपहर्ता द्वारा अनुमान लगाने से बचाने के लिए मिलता है।
अपने वेब ऐप पर लेन-देन चलाने के लिए दो-कारक प्रमाणीकरण (2FA) प्रणाली को लागू करने से भी CSRF की संभावना कम हो जाती है।
क्रॉस-साइट स्क्रिप्टिंग (XSS) के माध्यम से CSRF शुरू करना संभव है, जिसमें टिप्पणी रूपों जैसे उपयोगकर्ता फ़ील्ड में स्क्रिप्ट इंजेक्शन शामिल है। इसे रोकने के लिए, अपनी वेबसाइट के सभी उपयोगकर्ता प्रपत्र फ़ील्ड में HTML ऑटो-एसेट को सक्षम करने के लिए यह अच्छा अभ्यास है। यह क्रिया प्रपत्र फ़ील्ड को HTML तत्वों की व्याख्या करने से रोकती है।
उपयोगकर्ता के रूप में CSRF हमलों को कैसे रोकें
एक वेब सेवा के उपयोगकर्ता के रूप में, जिसमें प्रमाणीकरण शामिल है, आपके पास CSRF के माध्यम से हमलावरों और सत्रों को चोरी करने से रोकने के लिए एक भूमिका है।
सुनिश्चित करें कि आप फंड ट्रांसफर को शामिल करने वाली गतिविधियों के दौरान विश्वसनीय वेब सेवाओं का उपयोग कर रहे हैं।
इसके अतिरिक्त, उपयोग करें सुरक्षित वेब ब्राउज़र जो उपयोगकर्ताओं को सत्र जोखिम से बचाता है, साथ ही साथ सुरक्षित खोज इंजन जो खोज डेटा रिसाव से बचाता है।
सम्बंधित: सर्वश्रेष्ठ निजी खोज इंजन जो आपके डेटा का सम्मान करते हैं
एक उपयोगकर्ता के रूप में, आप जैसे तृतीय-पक्ष प्रामाणिकता पर भी निर्भर कर सकते हैं Google प्रमाणक या इसके विकल्प वेब पर अपनी पहचान सत्यापित करने के लिए।
हालाँकि आप किसी हमलावर को अपने सत्र को अपहरण करने से रोकने में असहाय महसूस कर सकते हैं, फिर भी आप मदद कर सकते हैं यह सुनिश्चित करने से रोकें कि आपका ब्राउज़र पासवर्ड और अन्य लॉगिन जैसी जानकारी संग्रहीत नहीं करता है विवरण।
बीफ अप योर वेब सिक्योरिटी
विकास और तैनाती के दौरान सुरक्षा उल्लंघनों के लिए डेवलपर्स को नियमित रूप से वेब ऐप्स का परीक्षण करने की आवश्यकता होती है।
हालांकि, दूसरों को रोकने की कोशिश करते समय अन्य कमजोरियों को पेश करना आम है। इसलिए यह सुनिश्चित करने के लिए सावधान रहें कि CSRF को अवरुद्ध करने का प्रयास करते समय आपने अन्य सुरक्षा मापदंडों का उल्लंघन नहीं किया है।
एक मजबूत पासवर्ड बनाएं जिसे आप बाद में याद रख सकें। आज नए मजबूत पासवर्ड के साथ अपनी सुरक्षा को अपग्रेड करने के लिए इन ऐप्स का उपयोग करें।
- सुरक्षा
- ऑनलाइन सुरक्षा
Idowu कुछ भी स्मार्ट तकनीक और उत्पादकता के बारे में भावुक है। अपने खाली समय में, वह कोडिंग के साथ चारों ओर खेलता है और जब वह ऊब जाता है, तो शतरंज खेलने के लिए स्विच करता है, लेकिन वह एक समय में एक बार दिनचर्या से अलग होना पसंद करता है। आधुनिक तकनीक के आसपास लोगों को रास्ता दिखाने का उनका जुनून उन्हें और अधिक लिखने के लिए प्रेरित करता है।
हमारे न्यूज़लेटर की सदस्यता लें
टेक टिप्स, रिव्यू, फ्री ईबुक और एक्सक्लूसिव डील्स के लिए हमारे न्यूज़लेटर से जुड़ें!
एक और कदम…!
कृपया हमें आपके द्वारा भेजे गए ईमेल में अपने ईमेल पते की पुष्टि करें।
