XSRF/CSRF (one-click attack) hujumlar deb bir zararli saytdan turib boshqa saytga hujum qilinishga aytiladi.
Quyidagi holatga nazar tashlang:
- siz https://halol-bank.uz saytiga login qilganingizda u sayt sizga
id_tokenya'ni kalit beradi. - Login*dan keyin sizni **https://halol-bank.uz* har bir so'rovingizga brauzer yuqoridagi kalitni qo'shib yuboradi. Bu har bir tugma bosga parolni qayta-qayta teravermaslik uchun kerak.
- siz endi https://parazit.uz nomli zararli saytga kirdingiz va u yerda
Sovg'ani yutib ol π₯³πdegan tugmani ko'rib uni bosasiz - bu tugma ortida quyidagicha kod yashiringan
<h1>Sovg'ani yutib ol π₯³π</h1>
<form action="https://halol-bank.uz/api/account" method="post">
<input type="hidden" name="Transaction" value="PulYechish" />
<input type="hidden" name="Qiymat" value="1000000" />
<input type="submit" value="Tugmani bosing!" />
</form>
- yuqoridagi kodga e'tibor bering. Zararlangan vebsayt
halol-bankga so'rov jo'natmoqchi. - esingizda bo'lsa siz login qilganingizdan keyin kalit berilgandi. Ushbu yuqoridagi tugma bosilganda so'rov
halol-bankga boradi, shuning uchun kalit qo'shib jo'natiladi - qarabsizki kalitni ko'rgan bank bu parazit saytni siz deb o'ylaydi va 1000000 miqdordagi pulni hisobingizdan yechib oladi
Yuqorida tushinish One-click attackni tushintirish uchun sodda/uydirma misollardan foydalanildi.
Bunda hujumlarni oldini olish uchun ASPNET Coreda AntiForgeryTokenlardan foydalaniladi. Ular haqida batafsil keyingi postda.
Top comments (6)
Qoil parazitlar linki rosa kupaygan hozir
To'g'ri
parazit.uz lol π
Yeah π
Endi yana bitta yaramas.uz yoki lanati.uz deb ham ochib qo'yish kerak yoki mishqi.uz mi πππ€£ zo'r bo'lardi π
Makes sense