ক্রস-সাইট অনুরোধ জালিয়াতি (সিএসআরএফ)

লেখক: Lewis Jackson
সৃষ্টির তারিখ: 12 মে 2021
আপডেটের তারিখ: 23 জুন 2024
Anonim
ক্রস-সাইট অনুরোধ জালিয়াতি (CSRF) একটি প্রো হ্যাকার দ্বারা ব্যাখ্যা এবং প্রদর্শিত!
ভিডিও: ক্রস-সাইট অনুরোধ জালিয়াতি (CSRF) একটি প্রো হ্যাকার দ্বারা ব্যাখ্যা এবং প্রদর্শিত!

কন্টেন্ট

সংজ্ঞা - ক্রস-সাইট অনুরোধ জালিয়াতি (সিএসআরএফ) এর অর্থ কী?

ক্রস-সাইট রিকোয়েস্ট ফোরজি (সিএসআরএফ) হ'ল এক ধরণের ওয়েবসাইটের শোষণ যা কোনও বিশ্বস্ত ওয়েবসাইট ব্যবহারকারী থেকে অননুমোদিত কমান্ড জারি করে পরিচালিত হয়। ক্রস-সাইট স্ক্রিপ্টিংয়ের বিপরীতে সিএসআরএফ একটি নির্দিষ্ট ব্যবহারকারী ব্রাউজারের জন্য কোনও ওয়েবসাইটের বিশ্বাসকে কাজে লাগায়, যা কোনও ওয়েবসাইটের জন্য ব্যবহারকারীর বিশ্বাসকে কাজে লাগায়।

এই শব্দটি সেশন রাইডিং বা এক-ক্লিক আক্রমণ হিসাবেও পরিচিত।


মাইক্রোসফ্ট আজুর এবং মাইক্রোসফ্ট মেঘের একটি পরিচিতি | এই গাইড জুড়ে, আপনি ক্লাউড কম্পিউটিং সম্পর্কে কী শিখবেন এবং মাইক্রোসফ্ট অ্যাজুরে কীভাবে আপনাকে মেঘ থেকে আপনার ব্যবসা স্থানান্তর করতে এবং পরিচালনা করতে সহায়তা করতে পারে তা শিখতে পারবেন।

টেকোপিডিয়া ক্রস-সাইট অনুরোধ জালিয়াতি (সিএসআরএফ) ব্যাখ্যা করে

একটি সিএসআরএফ সাধারণত ব্রাউজারগুলি "জিইটি" কমান্ডটি শোষণ পয়েন্ট হিসাবে ব্যবহার করে। সিএসআর ফোরগাররা একটি নির্দিষ্ট ওয়েবসাইটে কমান্ড ইনজেক্ট করতে "আইএমজি" এর মতো এইচটিএমএল ট্যাগগুলি ব্যবহার করে। সেই ওয়েবসাইটটির একটি নির্দিষ্ট ব্যবহারকারী তখন হোস্ট এবং অযাচিত সহযোগী হিসাবে ব্যবহৃত হয়। কোনও বৈধ ব্যবহারকারী কমান্ডগুলি আইএনএন করায় প্রায়শই ওয়েবসাইটটি এটি আক্রমণে রয়েছে তা জানে না। আক্রমণকারী অন্য অ্যাকাউন্টে তহবিল স্থানান্তর করতে, আরও তহবিল প্রত্যাহার করতে বা পেপাল এবং অনুরূপ সাইটের ক্ষেত্রে, অন্য অ্যাকাউন্টে অর্থ প্রেরণের অনুরোধ জানাতে পারে।

সিএসআরএফ-এর আক্রমণ কার্যকর করা শক্ত কারণ কারণ এটি সফল হওয়ার জন্য অনেক কিছু ঘটতে হয়:


  • আক্রমণকারীকে অবশ্যই এমন কোনও ওয়েবসাইটকে টার্গেট করতে হবে যা রেফারার শিরোলেখ যাচাই করে না (যা সাধারণ) বা একটি ব্যবহারকারী / ব্রাউজারের সাথে শিকার বা প্লাগ-ইন বাগ যা রেফারটিকে ফাঁকি দেওয়ার অনুমতি দেয় (যা বিরল)।
  • আক্রমণকারীকে অবশ্যই লক্ষ্য ওয়েবসাইটটিতে একটি ফর্ম জমা দেওয়ার সন্ধান করতে হবে, যা অবশ্যই ক্ষতিগ্রস্থদের ঠিকানা লগইন শংসাপত্রগুলি পরিবর্তন করার জন্য বা অর্থ স্থানান্তর করার মতো কিছু ক্ষেত্রে সক্ষম হতে হবে।
  • আক্রমণকারীকে অবশ্যই সমস্ত ফর্ম বা URL গুলি ইনপুটগুলির জন্য সঠিক মান নির্ধারণ করতে হবে। যদি তাদের মধ্যে কোনও গোপনীয় মান বা আইডি হওয়ার প্রয়োজন হয় যা আক্রমণকারী সঠিকভাবে অনুমান করতে পারে না, আক্রমণ ব্যর্থ হবে।
  • আক্রমণকারীটিকে লক্ষ্য সাইটে লগ ইন করার সময় ব্যবহারকারীকে / ক্ষতিগ্রস্থকে দূষিত কোড সহ একটি ওয়েব পৃষ্ঠায় লোভ দিতে হবে।

উদাহরণস্বরূপ, ধরুন যে ব্যক্তি এ কোনও চ্যাট রুমে থাকার সময় তার ব্যাংক অ্যাকাউন্ট ব্রাউজ করছে। চ্যাট রুমে একজন আক্রমণকারী (পার্সন বি) রয়েছেন যিনি জানতে পারেন যে ব্যক্তি এও ডটকম ডটকমকে লগ ইন করেছে। ব্যক্তি বি একটি মজাদার চিত্রের জন্য একটি লিঙ্কে ক্লিক করতে ব্যক্তি এটিকে আকৃষ্ট করে। "আইএমজি" ট্যাগটিতে ব্যাঙ্ক ডটকমের ফর্ম ইনপুটগুলির মান রয়েছে, যা ব্যক্তি এ এর ​​অ্যাকাউন্ট থেকে ব্যক্তি বি এর অ্যাকাউন্টে কার্যকরভাবে একটি নির্দিষ্ট পরিমাণ স্থানান্তর করবে। যদি তহবিল স্থানান্তরিত হওয়ার আগে ব্যাংক ডটকমের ব্যক্তির এ-এর জন্য গৌণ প্রমাণীকরণ না থাকে, আক্রমণ সফল হবে।