Tấn Công CSRF Và Biện Pháp Phòng Chống - Blog Thao Phạm
Có thể bạn quan tâm
- Custom Menu 01
- Custom Menu 02
- Normal Link 01
- Normal Link 02
- Disclaimer
- Terms
- Policy
Search This Blog For Great Content
- Home
- About
- Contact
Kịch bản tấn công: Bước 1: Alice muốn chuyển cho Bob một số tiền $100 sử dụng trực tuyến thông qua trang web bank.com. Yêu cầu chuyển tiền có dạng POST http://bank.com/transfer.do HTTP/1.1 ... ... Conten-Length:19; acct=BOB&amount=100 Bước 2: Maria nhận ra việc thực hiện yêu cầu chuyển tiền này cũng có thể sử dụng yêu cầu GET: GET http://bank.com/transfer.do?acct=BOB&amount=100 HTTP/1.1 Do đó, Maria quyết định khai thác lỗi này của bank.com để lừa Alice chuyển tiền cho mình. Maria đã tạo một URL có yêu cầu chuyển $100000 từ Alice cho cô: http://bank.com/transfer.do?acct=MARIA&amount=100000 Bước 3: Maria tạo bẫy để Alice thực hiện yêu cầu chuyển tiền. Cô tạo ra một link trong mail và gửi tới Alice: <a href="http://bank.com/transfer.do?acct=MARIA&amount=100000">Xem hình</a> Bước 4: Do tài khoản của Alice vẫn đang trong phiên làm việc, hoặc có thể thực hiện tự động việc xác nhận tài khoản tới web bank.com, Alice vô tình đã thực hiện chuyển tiền cho Maria. Việc này có thể bị phát hiện thông qua việc mở URL. >>>Đọc thêm: Tấn công XSS và biện pháp phòng chống - Phần 1 Tấn công XSS và biện pháp phòng chống - Phần2 Cách phòng chống tấn công CSRF 1. Sử dụng "chuỗi đồng bộ" cho mỗi thao tác quan trọng - Máy chủ sẽ tạo ra "chuỗi đồng bộ" và gửi cho máy khách - Máy khác sẽ gửi yêu cầu giao dịch kèm theo "chuỗi đồng bộ" để máy chủ kiểm tra và xác thực. - Sử dụng chuỗi xác thực CAPTCHAR. Việc sử dụng CAPTCHAR sẽ giúp hệ thống nhận biết đối tượng đang thao tác có phải là con người hay không. Các thao tác quan trọng như "đăng nhập", "chuyển khoản", "thanh toán" thường sử dụng captchar. 2. Sử dụng Viewstate (ASP.NET) Viewstate cho biết trạng thái của trang khi gửi yêu cầu lên máy chủ và kẻ tấn công khó có thể làm giả Viewstate. 3. Sử dụng thư viện chuẩn trong thiết kế Nên sử dụng những thư viện chuẩn đã được kiểm định và công bố như: OWASP CSRF Guard; PHP CSRF Guard; .Net CSRF Guard. 4. Sử dụng giao thức OTP/Challenge-Respone Kiểm tra lại mật khẩu cho mỗi thao tác quan trọng sử dụng giao thức OTP hay sử dụng mật khẩu/token một lần. Trên đây là bài viết tìm hiểu về dạng tấn công CSRF và các phòng chống. Mong rằng bài viết mang đến cho các bạn những kiến thức bổ ích. Tags security tin tức công nghệ Post a Comment
0 Comments
Social Plugin
Most Popular
Cài đặt windows server 2008 trên VMware bằng hình ảnh chi tiết
7:53:00 AM
Hướng dẫn làm đề thi môn cơ sở dữ liệu, đề 1 năm 2015 - 2016
2:24:00 AM
Hướng dẫn làm đề thi kết thúc học phần môn cơ sở dữ liệu - Đề số 2
5:59:00 AMTags
Advertisement
Responsive AdvertisementMenu Footer Widget
- Home
- About
- Contact
- vk
- youtube
Contact form
Từ khóa » Chống Tấn Công Csrf
-
Kỹ Thuật Tấn Công CSRF Và Cách Phòng Chống - Viblo
-
Tìm Hiểu CSRF Là Gì? Cách Phòng Chống Tấn Công Giả Mạo - Viblo
-
CSRF Là Gì? Làm Thế Nào Nó Có Thể Giúp Chống Tấn Công Giả Mạo?
-
Tấn Công CSRF Là Gì? Cách Chống Tấn Công Giả Mạo - Vietnix
-
Kỹ Thuật Tấn Công CSRF Và Cách Chống CSRF
-
CSRF Là Gì? Những Cú Lừa Ngoạn Mục Và Cách Phòng Chống CSRF
-
Tấn Công CSRF Và Cách Phòng Chống
-
Csrf Là Gì? Tìm Hiểu Cách Phòng Chống Lỗi Giả Mạo Yêu Cầu - Bizfly
-
CSRF Là Gì? Hướng Dẫn Chi Tiết Cách Phòng Chống Tấn Công ... - Lanit
-
CSRF Là Gì? Tổng Hợp Kiến Thức Cần Biết Về CSRF - Tino Group
-
Tìm Hiểu Csrf Là Gì ? Cách Phòng Chống Tấn Công Giả Mạo
-
CSRF Là Gì? Cách Phòng Tránh Tấn Công CSRF? - Vantien's Blog
-
Top 15 Chống Csrf
-
Tìm Hiểu Csrf Là Gì ? Cách Phòng Chống Tấn Công Giả Mạo - Asiana