Cross-site request forgery

Fra Wikipedia, den frie encyklopedi

Gå til: navigasjon, søk
Opprydning: Denne artikkelen trenger en opprydning for å oppfylle Wikipedias kvalitetskrav. Du kan hjelpe Wikipedia ved å forbedre den. Mangler som er blitt anført: wikify og utdype noe

Cross-site request forgery, forkortet CSRF, er på mange måter det det stikk motsatte av et XSS-angrep. Mens et XSS-angrep utnytter surferens tillit til nettstedet, utnytter et CSRF-angrep nettstedets tillit til surferen ved å lure nettstedet til å tro at en forespørsel kommer fra surferen.

Om for eksempel en person er logget inn på et nettsted, A, hvor webskjemaet for å bytte passord er ubeskyttet, kan et annet nettsted utnytte dette ved å ha et JavaScript på sin side som endrer passordet på nettsted A ved å sende en forespørsel om det. En slik forespørsel vil virke helt legitim i nettsted A, fordi det er nettleseren som iverksetter det. Dette er ett eksempel på CSRF angrep <img src="www.websidensomskalfåCSRF.com/logout"> Dette vil logge ut alle brukere som besøker din profil umiddelbart. Eller evt dette <img src="Webside.com/user=delete"> dette ville slette alle brukere som besøker din profil.

Hentet fra «http://no.wikipedia.org/wiki/Cross-site_request_forgery»
Personlige verktøy
Opprett en bok