فہرست کا خانہ:
- تعریف - کراس سائٹ کی درخواست جعلسازی (CSRF) کا کیا مطلب ہے؟
- ٹیکوپیڈیا میں کراس سائٹ کی درخواست جعل سازی (CSRF) کی وضاحت
تعریف - کراس سائٹ کی درخواست جعلسازی (CSRF) کا کیا مطلب ہے؟
کراس سائٹ کی درخواست جعل سازی (CSRF) ایک ایسی ویب سائٹ کا استحصال ہے جو کسی قابل اعتماد ویب سائٹ صارف سے غیر مجاز احکامات جاری کرکے کی جاتی ہے۔ کراس سائٹ اسکرپٹنگ کے برخلاف سی ایس آر ایف کسی مخصوص صارف کے براؤزر کے لئے کسی ویب سائٹ کے اعتماد کا استحصال کرتا ہے ، جو کسی ویب سائٹ پر صارف کے اعتماد کا استحصال کرتا ہے۔
اس اصطلاح کو سیشن رائیڈنگ یا ون کلک پر حملہ کے نام سے بھی جانا جاتا ہے۔
ٹیکوپیڈیا میں کراس سائٹ کی درخواست جعل سازی (CSRF) کی وضاحت
سی ایس آر ایف عام طور پر براؤزر کی "جی ای ٹی" کمانڈ کو استحصال نقطہ کے طور پر استعمال کرتا ہے۔ سی ایس آر جعل ساز کسی مخصوص ویب سائٹ پر کمانڈ لگانے کے ل HTML "آئی ایم جی" جیسے HTML ٹیگ استعمال کرتے ہیں۔ اس ویب سائٹ کا ایک خاص صارف پھر میزبان اور ناپسندیدہ ساتھی کے طور پر استعمال ہوتا ہے۔ اکثر ویب سائٹ نہیں جانتی ہے کہ اس پر حملہ آور ہے ، کیوں کہ ایک جائز صارف کمانڈ بھیج رہا ہے۔ حملہ آور کسی دوسرے اکاؤنٹ میں رقوم منتقل کرنے ، مزید فنڈز واپس لینے یا ، پے پال اور اسی طرح کی سائٹوں کی صورت میں ، دوسرے اکاؤنٹ میں رقم بھیجنے کی درخواست جاری کرسکتا ہے۔
سی ایس آر ایف کے حملے کو عملی جامہ پہنانا مشکل ہے کیونکہ اس کی کامیابی کے ل a بہت ساری چیزیں رونما ہونا پڑتی ہیں:
- حملہ آور کو یا تو کسی ایسی ویب سائٹ کو نشانہ بنانا ہوگا جو ریفرر ہیڈر (جو عام بات ہے) کی جانچ نہیں کرتا ہے یا براؤزر یا پلگ ان بگ کا شکار صارف / جس سے حوالہ دینے والے کو خراب کرنے کی اجازت دی جاتی ہے (جو نایاب ہے)۔
- حملہ آور کو ہدف والی ویب سائٹ پر فارم جمع کرانا ہوگا جس میں متاثرہ شخص کے ای میل ایڈریس لاگ ان سندوں کو تبدیل کرنے یا رقم کی منتقلی کرنے جیسے کچھ کے قابل ہونا چاہئے۔
- حملہ آور کو لازمی طور پر فارم یا URL کے سبھی ان پٹس کے لئے صحیح قدروں کا تعین کرنا ہوگا۔ اگر ان میں سے کسی کے لئے خفیہ اقدار یا شناختی شناخت ہونے کی ضرورت ہے جس کا حملہ آور درست اندازہ نہیں لگا سکتا تو ، حملہ ناکام ہوجائے گا۔
- حملہ آور صارف / متاثرہ شخص کو بدنیتی کوڈ کے ساتھ کسی ویب پیج پر راغب کرے گا جب کہ شکار متاثرہ ہدف سائٹ پر لاگ ان ہوتا ہے۔
مثال کے طور پر ، فرض کریں کہ فرد A اپنے چیٹ روم میں بھی اپنے بینک اکاؤنٹ کو تلاش کررہا ہے۔ چیٹ روم میں ایک حملہ آور (پرسن بی) ہے جو یہ سیکھتا ہے کہ پرسن اے بھی بینک ڈاٹ کام میں لاگ ان ہوا ہے۔ فرد بی ایک مضحکہ خیز تصویر کے ل link لنک پر کلک کرنے کے لئے پرسنسن اے کو متوجہ کرتا ہے۔ "آئی ایم جی" ٹیگ میں بینک ڈاٹ کام کے فارم ان پٹ کی قدر ہے ، جو مؤثر طریقے سے شخص اے کے اکاؤنٹ سے ایک خاص رقم پرسن بی کے اکاؤنٹ میں منتقل کردے گی۔ اگر فنڈز کی منتقلی سے قبل بینک ڈاٹ کام کے پاس فرد اے کے لئے ثانوی تصدیق نہیں ہے تو ، حملہ کامیاب ہوگا۔