XSRF/CSRF (one-click attack) hujumlar deb bir zararli saytdan turib boshqa saytga hujum qilinishga aytiladi.
Quyidagi holatga nazar tashlang:
- siz https://halol-bank.uz saytiga login qilganingizda u sayt sizga
id_token
ya'ni kalit beradi. - Login*dan keyin sizni **https://halol-bank.uz* har bir so'rovingizga brauzer yuqoridagi kalitni qo'shib yuboradi. Bu har bir tugma bosga parolni qayta-qayta teravermaslik uchun kerak.
- siz endi https://parazit.uz nomli zararli saytga kirdingiz va u yerda
Sovg'ani yutib ol 🥳🎉
degan tugmani ko'rib uni bosasiz - bu tugma ortida quyidagicha kod yashiringan
<h1>Sovg'ani yutib ol 🥳🎉</h1>
<form action="https://halol-bank.uz/api/account" method="post">
<input type="hidden" name="Transaction" value="PulYechish" />
<input type="hidden" name="Qiymat" value="1000000" />
<input type="submit" value="Tugmani bosing!" />
</form>
- yuqoridagi kodga e'tibor bering. Zararlangan vebsayt
halol-bank
ga so'rov jo'natmoqchi. - esingizda bo'lsa siz login qilganingizdan keyin kalit berilgandi. Ushbu yuqoridagi tugma bosilganda so'rov
halol-bank
ga boradi, shuning uchun kalit qo'shib jo'natiladi - qarabsizki kalitni ko'rgan bank bu parazit saytni siz deb o'ylaydi va 1000000 miqdordagi pulni hisobingizdan yechib oladi
Yuqorida tushinish One-click attackni tushintirish uchun sodda/uydirma misollardan foydalanildi.
Bunda hujumlarni oldini olish uchun ASPNET Coreda AntiForgeryToken
lardan foydalaniladi. Ular haqida batafsil keyingi postda.
Top comments (6)
Qoil parazitlar linki rosa kupaygan hozir
To'g'ri
parazit.uz lol 😁
Yeah 😝
Endi yana bitta yaramas.uz yoki lanati.uz deb ham ochib qo'yish kerak yoki mishqi.uz mi 😂😂🤣 zo'r bo'lardi 😁
Makes sense