ثغرات CSRF او كما يطلق عليها including XSRF أو Sea Surf أو Session Riding أو Cross-Site Reference Forgery كما اطلقت عليها شركة ميكروسوفت اسم One-Click attack عباره عن ثغرات تشبه فى عملها الى حد كبير فكرة عمل ثغرات Stored XSS ولكن الاختلاف فى CSRF هو امكانية خداع تطبيق الويب و سرقة cookies المستخدم أو تعديل البيانات فى لوحة التحكم أو حتى ارسال e-cards وعمل shopping!
لاكتشاف هذا النوع من الثغرات بامكاننا استخدام برنامج CSRFTester.
الفيديو:
http://www.youtube.com/watch?v=yKobsW5MDbI
طريقة الحماية:
لحماية تطبيق الويب من هذا النوع من الهجمات يجب الاعتماد على CSRF token وهى عباره عن الحاق الـform بـkey مزوده من السيرفر تعتمد على جلسة المستخدم وكلمه سريه يتم ارسالها مع request و يجب ان تعود للسيرفر مره اخرى مع response , بما أن Request مزود بالكلمه السريه لن يستطيع المهاجم من توليد token صحيح الا عن طريق هجوم MITM.
لتحميل أداة CSRFTester: CSRFTester-1.0
عن الكاتب:
أحمد العنتري, طالب فى هندسه قسم حاسبات وتحكم بأكادمية السلاب. مبرمج بايثون أستخدم لينوكس كنظام أساسي وأحب الحمايه ومعرفة وسائل الاختراق المختلفة.
شرح وافي وفقك الله و رعاك و الثغرة معروفة و سهلة التطبيق
تحياتي لك .
شكرا أخي أحمد،ولكن كيف نستطيع عملها على الواقع؟
بمعنى آخر،كيف أكتشف وجود الثغرة في موقع ما؟
يمكنك اكتشاف الثغره لو لاحظت ان تطبيق الويب يؤدى عدة دوال باستخدام نفس العنوان
وتبدا تشك اكتر لو كان الاستعلام ب GET مش POST
مع العلم ان لو الموقع بيستخدم POST فقط ممكن يكون مصاب ايضا
وهنا فايدة البرنامج اللى اتكلمنا عليه
المفروض ان الوظيفه الاساسيه للبرنامج اكتشاف الثغرات مش الاستغلال
طيب اذا مطلوب نعمل login اذا ممكن نغير الباسوورد بدون استغلال الثغرة
صحيح؟؟
طيب يعني ممكن نغير الباسوورد بدون ما نعمل login او لازم نسجل قيل؟؟
مش شرط التسجيل فى حالة ال stored csrf
بس معظم ثغرات ال csrf اللى مرت عليه كان لازم التسجيل لاستغلالها
مش شرط انك تضيف حساب
ممكن تغير فى معلومات على ال database مش مسموح للمستخدم انه يغيرها
تخيل ان فى تطبيق مصاب بالثغره على موقع بنكى
انت ممكن تضيف على حسابك او انك تمسح حساب من قاعدة البيانات
اوك شكرا” للمساعدة 😀
انا فى معهد كمبيوتر تابع لكليه علوم المنصوره ارجو مقابلتك بجد حتى استفيد من خبرتك
سلام عليكم
أنا كنت بحاول أنزل الأداة دى على لينكس فيودورا بس مش عارف ممكن تقول نزلته الزاى؟
شكراً
teto2005:الرابط للتنزيل http://www.owasp.org/images/0/…er-1.0.zip
تاكد من وجود الجافا على التوزيعه باستخدام java -version
لو مش موجوده نزلها من هنا:
http://www.java.com/en/download/linux_manual.jsp?locale=en&host=www.java.com
و صطبها
good hacker:للاسف انا فى المحله دلوقتى و فاقرب فرصه ان شاء الله نتقابل فى الجامعه
والله كفؤ ..
ثغرة جميله ..ولكن آستغلالها لازم يكون صحيح .. لانه اي خطأ فيه ..يؤدي بالمستخدم في مشكلة ..مراقبة حكومية ..إذا كان الاستهداف على حكومي او قطاع خاص مثل البنوك
..هذا والله أعلم ..
ثغره قويه جدا
thanxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
انا الى الحين ما قدرت افهم هذي الثغرة هل في مرجع سهل يساعدني على فهمها ولكم الشكر الجزيل
ما هو إصدار النسخة المستخدمة في الإختبار ؟