Cross-Site Request Forgery क्या है?

क्रॉस-साइट अनुरोध जालसाजी (सीएसआरएफ) एक ऐसा हमला है जो एक End Users को उस वेब एप्लिकेशन पर अवांछित क्रियाओं को निष्पादित करने के लिए मजबूर करता है जिसमें वे वर्तमान में प्रमाणित हैं। सोशल इंजीनियरिंग (जैसे ईमेल या चैट के माध्यम से एक लिंक भेजना) की थोड़ी सी मदद से, एक हमलावर वेब एप्लिकेशन के उपयोगकर्ताओं को हमलावर की पसंद के कार्यों को निष्पादित करने के लिए धोखा दे सकता है। यदि पीड़ित एक सामान्य उपयोगकर्ता है, तो एक सफल CSRF Attack उपयोगकर्ता को State change request करने के लिए मजबूर कर सकता है जैसे धन हस्तांतरित करना, अपना ईमेल पता बदलना आदि। यदि पीड़ित एक Administrative account है, तो सीएसआरएफ संपूर्ण वेब एप्लिकेशन से समझौता कर सकता है।

क्रॉस-साइट अनुरोध जालसाजी क्या है? हिंदी में [What is Cross-Site Request Forgery? In Hindi]

Cross-Site Request Forgery - जिसे CSRF, XSRF या Cross site reference forgery के रूप में भी जाना जाता है - एक प्रकार का हमला है जो तब होता है जब कोई Malicious website किसी अन्य वेबसाइट या वेब एप्लिकेशन को अपना अनुरोध सौंपती है जहां उपयोगकर्ता प्रमाणित होता है। हमलावर पीड़ित के प्रमाणित ब्राउज़र के माध्यम से वेबसाइट की संपूर्ण या आंशिक कार्यक्षमता तक पहुंच सकता है।

सीएसआरएफ हमले का क्या प्रभाव है? [What is the effect of CSRF attack? In Hindi]

एक सफल सीएसआरएफ हमले में, हमलावर पीड़ित उपयोगकर्ता को अनजाने में एक कार्रवाई करने का कारण बनता है। उदाहरण के लिए, यह उनके खाते पर ईमेल पता बदलने के लिए, उनका पासवर्ड बदलने के लिए, या धन हस्तांतरण करने के लिए हो सकता है। कार्रवाई की प्रकृति के आधार पर, हमलावर उपयोगकर्ता के खाते पर पूर्ण नियंत्रण प्राप्त करने में सक्षम हो सकता है। यदि समझौता किए गए उपयोगकर्ता की एप्लिकेशन के भीतर एक विशेषाधिकार प्राप्त भूमिका है, तो हमलावर एप्लिकेशन के सभी डेटा और कार्यक्षमता पर पूर्ण नियंत्रण रखने में सक्षम हो सकता है। CSRF हमलों को केवल POST Requests, multistage transactions, secret cookies, URL rewrite आदि को स्वीकार करने से नहीं रोका जा सकता है। CSRF हमलों को रोकने का सबसे आम तरीका हर अनुरोध में अप्रत्याशित टोकन जोड़ना और उन्हें उपयोगकर्ता के सत्र के साथ जोड़ना है।

ये टोकन प्रत्येक उपयोगकर्ता के लिए अद्वितीय होना चाहिए लेकिन यह प्रति अनुरोध अद्वितीय भी हो सकता है। सीएसआरएफ भेद्यता ब्राउज़रों तक सीमित नहीं है। एक हमलावर स्क्रिप्टिंग को एक शब्द दस्तावेज़, आरएसएस वेब फ़ीड, फ्लैश फ़ाइल, मूवी, या अन्य दस्तावेज़ प्रारूप में स्क्रिप्टिंग की अनुमति देने के लिए एम्बेड कर सकता है। Vulnerability के लिए एक वेबसाइट का पता लगाया जा सकता है। एक त्वरित परीक्षण में प्रॉक्सी के माध्यम से वेबसाइट ब्राउज़ करना और किए गए अनुरोधों को रिकॉर्ड करना शामिल होगा। यदि एक ही फ़ंक्शन को बार-बार GET या POST अनुरोध का उपयोग करके निष्पादित किया जा सकता है, तो वेबसाइट या Web application insecure हो सकते हैं। Computer Worm क्या है?