رفتن به مطلب
انجمن تیم امنیتی گارد ایران

ارسال های توصیه شده

باگ csrf



ابتدا میخوام برای شما توضیح بدم که اصلا باگ CSRF چیست ؟


مخفف Cross-Site Request Forgeries است و درخواستی که معمولا از طریق یک سایت دیگر پیش می آید و البته این حمله می‌تونه حمله مهمی رو تدارک ببینه و اثرات

مخربی هم از خودش به جای بذاره .

مثالی میخوام برای شما در اینجا مطرح کنم تا برای شما عزیزان درکش ساده تر باشه البته برای دوستانی که تجربه و آشنایی با این دسته از حملات ندارند :

بطور مثال شما به سایت Target .com رفتین و در زمان خروج در این صفحه Target.com/logout که برای خروج ازش استفاده می کنید , کوکی شما پاک میشه و Logout میشین

تا به اینجاش درست ؟

حالا اومدیم و یک از کاربران یک سایت دیگه بیاد و همچین عکسی مثل اینی که اینجا براتون قرار میدم :

<img src="http://www.Target.com/logout/" />

و همچین عکسی بذاره توی صفحه سایت خودش شما و همه کسانی که اون صفحه رو باز کنن ، مرورگر میره برای لود و نمایش اون عکس و کوکی شما که توسط دامنه Target.com ایجاد شده

هم برای تائید هویت ارسال میشه و در این صورت همه کسانی که اون صفحه رو می‌بینن از اکانت اون سایت ( Target.com ) بیرون انداخته میشن !

شاید هنوز هم براتون موضوع جا نیفتاده باشه و بگین که مهم نیست مهم نیست و اصلا خطری نداره اما با نگاهی به بقیه صفحه موضوع براتون جا میفته :

اگر شما از یه cms یا برنامه‌ای استفاده کنید که مثلا برای حذف یه مطلب یه آدرسی شبیه اینو ببینید :

Target.com/User ( Admin ) /delete/74

در بسیاری از cms ها هم دقیقا همینطوره و اون cms آلوده به باگ csrf باشه ، اونوقت یک کاربر اگر نفوذگر باشه به راحتی می‌تونه تمام مطالب شما رو پاک کنه و شمارو به چالش بکشه .

با باگ CSRF میشه حتی پسورد ادمین رو هم عوض کرد اگر فرم تعویض ، پسورد قبلی رو نخواد وگرنه که....

کافیه فرمی مخفی در یک صفحه html کار گذاشته بشه که داخل اون فریم ، فرم تعویض پسورد باشه و پس از لود صفحه اون فرم با جاوا اسکریپت ثبت بشه اونوقت خودتون میتونید نتیجه رو

کامل ببینید که چی میشه البته در فیلمی که بنده ضبط کردم و در انجمن گارد ایران فردا قرار میدم دقیقا متوجه این توضیح بنده خواهید شد و شاید درک مطالب الآن براتون سنگین باشه اما با دیدن

اون فیلم آموزش تصویری باگ CSRF تا دسترسی ادمین , شما کامل با این متد آشنا میشین .


در بخشهای بعدی حتما طریقه پچ کردن باگ CSRF ( جلوگیری از باگ CSRF ) رو هم به شما آموزش میدم که چطور می تونید در کدهاتون و یا با توجه به او اقدامات این کارهارو انجام بدین .


موفق باشین
لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

  • 2 ماه بعد...

کو فیلم؟

 

 

دوست عزیز به جای اسپم دادن به دقت مطالعه کنید که آیا اصلا این آموزش تصویری هست یا اینکه بصورت متنی بیان شده و سرچ در انجمن رو فراموش نکنید :

 

 

آموزش تصویری باگ CSRF رو می تونید از اینجا در انجمن گارد ایران دریافت کنید .

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

مهمان
این موضوع برای عدم ارسال قفل گردیده است.

انجمن تیم امنیتی گارد ایران

تیم امنیتی گارد ایران یک گروه مستقل است که قوانین آن با خط مشی جمهوری اسلامی ایران مغایرت ندارد. تیم امنیتی گارد ایران از سال 1393 فعالیت خود را آغاز کرد و هدف این تیم تامین امنیت سایت ها و سرورهای ایرانی است. تیم ما همیشه برای دفاع از مرزهای سایبری سرزمین عزیزمان ایران آماده است.

شبکه های اجتماعی

×
×
  • اضافه کردن...