Forfalskning av forespørsler på tvers av nettsteder
Opprydning: Denne artikkelen trenger en opprydning for å oppfylle Wikipedias kvalitetskrav. Du kan hjelpe Wikipedia ved å forbedre den. Mangler som er blitt anført: wikify og utdype noe |
Forfalskning av forespørsler på tvers av nettsteder[1][2] (engelsk: cross-site request forgery, CSRF) er ondsinnet datakode som er innfelt på en nettside som blir presentert til klienter av en server. Koden forleder klientmaskinen til å utføre uønskede, gjerne skadelige, operasjoner.
CSRF er et speilbilde av XSS-angrep. Mens et XSS-angrep utnytter nettstedets tillit til eksterne brukere, utnytter et CSRF-angrep brukernes tillit til nettstedet ved å lure dem til å tro at overført data kommer fra nettstedet.
Om for eksempel en person er logget inn på et nettsted, A, hvor webskjemaet for å bytte passord er ubeskyttet, kan et annet nettsted utnytte dette ved å ha et JavaScript på sin side som endrer passordet på nettsted A ved å sende en forespørsel om det. En slik forespørsel vil virke helt legitim i nettsted A, fordi det er nettleseren som iverksetter det.
Eksempler på CSRF-angrep i HTML-kode:
- <img src="www.websidensomskalfåCSRF.com/logout"> – Dette vil logge ut alle brukere som besøker en profil umiddelbart.
- <img src="webside.com/user=delete"> – Dette ville slette alle brukere som besøker en profil.
Se også
[rediger | rediger kilde]Referanser
[rediger | rediger kilde]- ^ «Adobe – sikkerhetsbulletin».
- ^ BrianShook. «Samsvar for informasjonskapsel - Commerce | Dynamics 365». docs.microsoft.com. Besøkt 7. november 2021.