Nội dung được dịch bởi AI, chỉ mang tính chất tham khảo
Sự tiến hóa của các cuộc tấn công giả mạo yêu cầu qua trang (CSRF)
Tóm tắt
Bài báo này trình bày một cái nhìn tổng quan về các cuộc tấn công giả mạo yêu cầu qua trang (CSRF) và các kỹ thuật mới có thể được sử dụng bởi những kẻ xâm nhập tiềm năng để tăng cường tính hiệu quả của chúng. Nhiều kịch bản tấn công trên các ứng dụng web được sử dụng phổ biến được thảo luận, và một lỗ hổng ảnh hưởng đến hầu hết các trình duyệt hiện đại được giải thích. Lỗ hổng này cho phép thực hiện các cuộc tấn công CSRF hiệu quả bằng cách sử dụng đối tượng XMLHTTPRequest. Ngoài ra, bài báo này mô tả một kỹ thuật mới giúp duy trì đoạn mã độc trên hệ thống mục tiêu ngay cả khi cửa sổ trình duyệt bị đóng. Cuối cùng, các giải pháp tốt nhất để ngăn chặn những cuộc tấn công này được thảo luận để giúp mọi người (người dùng, nhà phát triển ứng dụng web hoặc trình duyệt, các chuyên gia phụ trách an ninh CNTT trong tổ chức hoặc công ty) có thể ngăn chặn hoặc quản lý mối đe dọa này.
Từ khóa
#CSRF #tấn công mạng #bảo mật web #XMLHTTPRequest #lỗ hổng bảo mậtTài liệu tham khảo
Watkins, P.: Cross-Site Request Forgeries (2001). http://www.tux.org/~peterw/csrf.txt
Grossman, J.: (2006). http://www.webappsec.org/lists/websecurity/archive/2006-01/msg00087.html
Klein, A.: Forging HTTP request headers with Flash (2006). http://www.securityfocus.com/archive/1/441014/30/0/threaded
Grossman, J., Niedzialkowski, T.C.: hacking Intranet Website from the outside (2006). http://www.blackhat.com/presentations/bh-usa-06/BH-US-06-Grossman.pdf
SPI dynamics: detecting, analyzing, and exploiting Intranet applications using JavaScript (2006). http://www.spidynamics.com/assets/documents/JSportscan.pdf
John, M., Winter, J.: RequestRodeo: client Side Protection against Session Riding (2006). http://www.informatik.uni-hamburg.de/SVS/papers/2006_owasp_RequestRodeo.pdf