Hur förhindrar jag förfalskning på plats?
En förfalskning på tvärsidan (XSRF eller CSRF), även känd med en mängd olika namn inklusive förföljande på kortplats, session ridning och enklickattack, är en svår typ av webbplatsutnyttjande för att förhindra. Den fungerar genom att lura en webbläsare till att skicka obehöriga kommandon till en fjärrserver. FÖRSIKTIGA FÖRSIKTIGHETER ATTACKER FÖR ATT ARBETA MOT ANVÄNDNINGAR som har loggat in på webbplatser med autentiska referenser; Som ett resultat kan loggning från webbplatser vara en enkel och effektiv förebyggande åtgärd. Webbutvecklare kan använda slumpmässigt genererade symboler för att förhindra denna typ av attack, men bör undvika att kontrollera referensen eller förlita sig på kakor.
Det är vanligt att exploater på tvärsidan för att rikta ut webbläsare i det som kallas en "förvirrad vice attack." När man tror att de ska agera på användarens vägnar, luras webbläsaren att skicka obehöriga kommandon till en fjärrserver. Dessa kommandon kan döljas inuti till synes oskyldiga delar av en webbsides markeringskod, vilket innebär att en pannaSer som försöker ladda ner en bildfil kan faktiskt skicka kommandon till en bank, online -återförsäljare eller sociala nätverkssajt. Vissa webbläsare inkluderar nu åtgärder som är utformade för att förhindra attacker på tvärsida och tredjepartsprogrammerare har skapat förlängningar eller plugins som saknar dessa åtgärder. Det kan också vara en bra idé att stänga av Hypertext Markup Language (HTML) e-post i din föredragna klient eftersom dessa program också är sårbara för attacker på tvärsidan.
Eftersom förfalskningsattacker på tvärsidan förlitar sig på användare som legitimt har loggat in på en webbplats. Med det i åtanke är ett av de enklaste sätten att förhindra en sådan attack att helt enkelt logga ut från webbplatser som du är klar med. Många webbplatser som hanterar känslig information, inklusive banker och mäklareföretag, gör detta automatiskt efter en viss inaktivitetsperiod. Andra webbplatser tar motsatt tillvägagångssätt och tillåter användare att vara PERSILogga in i flera dagar eller veckor. Även om du kanske tycker att det är praktiskt utsätter det dig för CSRF -attacker. Leta efter en "Kom ihåg mig på den här datorn" eller "Håll mig inloggad" -alternativ och inaktivera det, och se till att klicka på Log Out -länken när du har slutfört en session.
För webbutvecklare kan det vara en särskilt utmanande uppgift att eliminera sårbarheter på tvärsida på plats. Att kontrollera referenser och cookie -information ger inte mycket skydd eftersom CSRF -utnyttjande drar nytta av legitima användaruppgifter och denna information är lätt att förfalska. Ett bättre tillvägagångssätt skulle vara att slumpmässigt generera en engångsbruk varje gång en användare loggar in och kräva att token ingår i någon begäran som skickas av användaren. För viktiga förfrågningar som inköp eller fondöverföringar kan det hjälpa till att återge användarnamn och lösenord för att säkerställa begäran om begäran.