مفهوم CSRF چيست؟

CSRF مختصر عبارت Cross-site request forgery و يک اشکال امنيتي در برنامه‌نويسي وب است.CSRF گاهي با واژه‌ي XSRF نيز شناخته مي‌شود.شيوه‌ي عملکرد هکرها در CSRF به اين صورت است که مهاجم براي اجراي عمليات مالي يا تراکنش دلخواه خود، لينک انجام تراکنش را در محل‌هاي عمومي قرار مي‌دهد. اين عمليات ممکن است انتقال وجه از حساب قربانيان به حساب هکر باشد.چنانچه فرد هدف در سايت ناايمن Login باشد و cookieهاي آن سايت روي مرورگر او تنظيم باشند، کليک روي لينک ارسال شده توسط هکر مي‌تواند اهداف هکر را اجرايي کند. مثلا مبلغي از حساب وي کسر کند و به حساب هکر واريز کند.حتي گاهي نيازي نيست تا فرد روي لينکي کليک کند، هکر مي‌تواند لينک مورد نظر خود را به عنوان نشاني يک تصوير در محل‌هاي عمومي مانند فروم‌ها يا شبکه‌هاي اجتماعي ناايمن درج کند.در اين صورت مرورگر قربانيان به صورت خودکار، لينک مورد نظر را روي سيستم تمام کاربران اجرا خواهد کرد.نکته‌هاي امنيتي براي برنامه‌نويسانبراي جلوگيري از CSRF، انتقال‌هاي پولي و تراکنش‌هاي مهم بايد در چند مرحله به انجام برسد و تحت هيچ شرايطي، يک لينک منحصر به فرد يا يک فرم تحت وب نبايد عملکردي کامل داشته باشد.استفاده از کدهاي امنيتي captcha نيز مي‌تواند از رويداد CSRF جلوگيري کنند.بررسي referer در سرآمد درخواست HTTP نيز مي‌تواند احتمال رخداد CSRF را به حداقل برساند.نکته‌هاي امنيتي براي کاربرانکاربران سيستم‌هاي بانکي نيز بهتر است در هنگام استفاده از سيستم‌هايي مانند اينترنت بانک، تنها يک صفحه‌ي باز داشته باشند و پس از پايان استفاده از اين سيستم‌ها، کاملا از سيستم خارج شوند.

 

مطالب بيشتر : مفهوم MVC چيست?

نکته‌هاي امنيتي براي برنامه‌نويسان

براي جلوگيري از CSRF، انتقال‌هاي پولي و تراکنش‌هاي مهم بايد در چند مرحله به انجام برسد و تحت هيچ شرايطي، يک لينک منحصر به فرد يا يک فرم تحت وب نبايد عملکردي کامل داشته باشد.

استفاده از کدهاي امنيتي captcha نيز مي‌تواند از رويداد CSRF جلوگيري کنند.

بررسي referer در سرآمد درخواست HTTP نيز مي‌تواند احتمال رخداد CSRF را به حداقل برساند.

 

نکته‌هاي امنيتي براي کاربران

کاربران سيستم‌هاي بانکي نيز بهتر است در هنگام استفاده از سيستم‌هايي مانند اينترنت بانک، تنها يک صفحه‌ي باز داشته باشند و پس از پايان استفاده از اين سيستم‌ها، کاملا از سيستم خارج شوند.