فيديو: استغلال ثغرات CSRF

ثغرات  CSRF او كما يطلق عليها including XSRF أو Sea Surf أو Session Riding أو Cross-Site Reference Forgery كما اطلقت عليها شركة ميكروسوفت اسم One-Click attack عباره عن ثغرات تشبه فى عملها الى حد كبير فكرة عمل ثغرات Stored XSS ولكن الاختلاف فى CSRF هو امكانية خداع تطبيق الويب و سرقة cookies المستخدم أو تعديل البيانات فى لوحة التحكم أو حتى ارسال e-cards وعمل shopping!

لاكتشاف هذا النوع من الثغرات بامكاننا استخدام برنامج CSRFTester.

الفيديو:

طريقة الحماية:

لحماية تطبيق الويب من هذا النوع من الهجمات يجب الاعتماد على CSRF token وهى عباره عن الحاق الـform بـkey مزوده من السيرفر تعتمد على جلسة المستخدم وكلمه سريه يتم ارسالها مع request و يجب ان تعود للسيرفر مره اخرى مع response , بما أن Request مزود بالكلمه السريه لن يستطيع المهاجم من توليد token صحيح الا عن طريق هجوم MITM.