DEV Community

Cover image for One-click attack nima?
Wahid Abduhakimov
Wahid Abduhakimov

Posted on

One-click attack nima?

XSRF/CSRF (one-click attack) hujumlar deb bir zararli saytdan turib boshqa saytga hujum qilinishga aytiladi.

Quyidagi holatga nazar tashlang:

  • siz https://halol-bank.uz saytiga login qilganingizda u sayt sizga id_token ya'ni kalit beradi.
  • Login*dan keyin sizni **https://halol-bank.uz* har bir so'rovingizga brauzer yuqoridagi kalitni qo'shib yuboradi. Bu har bir tugma bosga parolni qayta-qayta teravermaslik uchun kerak.
  • siz endi https://parazit.uz nomli zararli saytga kirdingiz va u yerda Sovg'ani yutib ol 🥳🎉 degan tugmani ko'rib uni bosasiz
  • bu tugma ortida quyidagicha kod yashiringan
<h1>Sovg'ani yutib ol 🥳🎉</h1>
<form action="https://halol-bank.uz/api/account" method="post">
    <input type="hidden" name="Transaction" value="PulYechish" />
    <input type="hidden" name="Qiymat" value="1000000" />
    <input type="submit" value="Tugmani bosing!" />
</form>
Enter fullscreen mode Exit fullscreen mode
  • yuqoridagi kodga e'tibor bering. Zararlangan vebsayt halol-bank ga so'rov jo'natmoqchi.
  • esingizda bo'lsa siz login qilganingizdan keyin kalit berilgandi. Ushbu yuqoridagi tugma bosilganda so'rov halol-bankga boradi, shuning uchun kalit qo'shib jo'natiladi
  • qarabsizki kalitni ko'rgan bank bu parazit saytni siz deb o'ylaydi va 1000000 miqdordagi pulni hisobingizdan yechib oladi

Yuqorida tushinish One-click attackni tushintirish uchun sodda/uydirma misollardan foydalanildi.

Bunda hujumlarni oldini olish uchun ASPNET Coreda AntiForgeryTokenlardan foydalaniladi. Ular haqida batafsil keyingi postda.

Top comments (6)

Collapse
 
alisherqurbonov profile image
AlisherQurbonov

Qoil parazitlar linki rosa kupaygan hozir

Collapse
 
wahidustoz profile image
Wahid Abduhakimov

To'g'ri

Collapse
 
khayrullaev profile image
Alisher Khayrullaev

parazit.uz lol 😁

Collapse
 
wahidustoz profile image
Wahid Abduhakimov

Yeah 😝

Collapse
 
muhammadabdulloh profile image
Muhammad Abdulloh

Endi yana bitta yaramas.uz yoki lanati.uz deb ham ochib qo'yish kerak yoki mishqi.uz mi 😂😂🤣 zo'r bo'lardi 😁

Collapse
 
wahidustoz profile image
Wahid Abduhakimov

Makes sense