มาทำความรู้จัก Cross Site Request Forgery (CSRF) เพื่อเพิ่มความปลอดภัยกับเว็บไซต์

หมวด: บทความ

อัปเดตล่าสุดเมื่อ: 04 กรกฎาคม 2560

ให้เรตสมาชิก: 1 / 5

มาทำความรู้จัก Cross Site Request Forgery (CSRF) เพื่อเพิ่มความปลอดภัยกับเว็บไซต์

การโจมตีเว็บสามารถถูกโจมตีจากช่องโหว่เช่น Buffer Overflow (บัฟเฟอร โอเวอฟลาว) ได้เช่นเดียวกันกับ Software (ซอฟต์แวร์) ทุกตัวในโลก แต่ช่องโหว่นั้น นับตั้งแต่ Bug (บั๊ก) ที่เปิดให้ผู้ใช้อัพโหลดสคริปต์ขึ้นไปรันบนเว็บได้ด้วยตัวเอง ไปจนถึงการตรวจสอบสิทธิผู้ใช้ด้วยยูอาร์แอลเพียงอย่างเดียว ทำให้เมื่อผู้ใช้แชร์ url (ยูอาร์แอล) ไป เกิดเหตุการณ์ข้อมูลส่วนตัวรั่วไปได้อย่างง่ายดาย

Cross Site Request Forgery (CSRF)

การโจมตีแบบ Cross-site Request Forgery หรือ CSRF เป็นเทคนิคการโจมตีเว็บไซต์ที่แฮ็คเกอร์นิยมใช้มากขึ้นเรื่อยๆ ซึ่งเป็นการโจมตีที่ใช้ประโยชน์จากความเชื่อของเว็บไซต์ที่มีต่อข้อมูล Input และเบราเซอร์จากผู้ใช้งาน คือ เหยื่อจะถูกหลอกให้กระทำการบางอย่างบนเว็บไซต์ปกติทั่วไป ที่ก่อให้เกิดประโยชน์ต่อแฮ็คเกอร์ในนามของตัวเหยื่อเอง โดยที่ตัวเหยื่อไม่ต้องการกระทำหรือกระทำไปโดยไม่รู้ตัว

หลักการโจมตี

ผู้ใช้งาน login เพื่อทำซื่อขายสินค้า
server ตอบกลับว่า login สำเร็จ
ผู้ใช้งาน ทำการเข้าเว็บไซต์ www.kayride.com
www.kayride.com ทำการสร้าง link ที่ใช้ในการโอนเงิน ส่งไปให้กับเว็บเบราเซอร์ของ user
ว็บเบราเซอร์ทำการ redirect ไปตาม link ที่ www.kayride.com ส่งมา www.ธนาคาร.com ทำการโอนเงินไปให้กับ kayride เนื่องจากเป็น request ที่ถูกส่งมาจาก user ที่ทำการ login อยู่ในระบบแล้ว (ขั้นตอนนี้ แฮกเกอร์ สามารถขโมบเงินจากธนาคารของ ผู้ใช้เท่าไรก็ได้)

ในขั้นตอนของการ redirect kayride เทคนิคที่ใช้ <img> tag ดังตัวอย่างด้านล่าง

<img src="http://www.somebank.com?send_money_to=kayride_account&amount=10000000></img>

YouTube: ก็เคยถูกโจมตีด้วย CSRF เช่นกัน จากยูอาร์แอลของการเพิ่มวิดีโอเข้า playlist ที่ไม่มีการตรวจสอบล่วงหน้า และมี playlist พิเศษที่ทำให้ชื่อเป็น add_to_favorite ทำให้แฮกเกอร์สามารถเพิ่มวิดีโอที่ต้องการโปรโมทเข้าไปยังผู้ใช้ทุกคนได้

แนวทางการในการป้องกัน CSRF

CSRF มีสาเหตุหลักมาจากการที่เว็บไม่ได้ทำการตรวจสอบว่า request ที่ถูกส่งมาจากผู้ใช้งานนั้นถูกส่งมาจากผู้ใช้งานจริงโดยตั้งใจหรือไม่ ดังนั้น แนวทางในการป้องกัน CSRF ประกอบไปด้วย 3 วิธีหลัก ๆ ได้แก่

Synchronizer Token Pattern
HTTP referer header
Re-authentication & CAPTCHA

Cross-site Request Forgery (CSRF) เป็นช่องโหว่ที่เกิดจากการที่ผู้ไม่หวังดีทำการสั่งให้เว็บเบราเซอร์ของเหยื่อส่งคำสั่งไปให้กับเว็บแอปพลิเคชัน CSRF สามารถสร้างผลกระทบต่อผู้ใช้งานอย่างร้ายแรง เช่น การโอนเงินจากบัญชีผู้ใช้งานไปยังบัญชีอื่นโดยที่ผู้ใช้งานไม่ได้ยินยอม แนวทางการป้องกัน CSRF ที่ดีที่สุด คือการใช้ Synchronizer Token Pattern ปัจจุบัน

กระทู้ล่าสุดจากเว็บบอร์ด

หัวข้อกระทู้	ตอบ	เปิดดู	ล่าสุด
การเขียนโค้ดมีความเสี่ยง โดย noppadonsk พฤ 27 ก.พ. 2020 6:19 pm บอร์ด พูดคุยเรื่องทั่วไป จับฉ่าย	0	2	พฤ 27 ก.พ. 2020 6:19 pm โดย noppadonsk
อยากทราบวิธีการ import ชนิดข้อมูลที่เป็น date ใน Excel มาเป็น text เพื่อบันทึกลงในฐานข้อมูล โดย Ittichai_chupol พฤ 27 ก.พ. 2020 2:55 pm บอร์ด Programming - PHP	1	11	พฤ 27 ก.พ. 2020 2:57 pm โดย thatsawan
สอบถามครับ จะรันไฟล์ .exe บน Ubuntu ต้องใช้โปรแกรมไหนได้บ้างครับ โดย chatee supasand พฤ 27 ก.พ. 2020 2:18 pm บอร์ด Programming - C/C++ & java & Python	0	7	พฤ 27 ก.พ. 2020 2:18 pm โดย chatee supasand
สอบถามครับ รันไฟล์ .exe บน Ubuntu ด้วย Wine แล้ว error โดย chatee supasand พฤ 27 ก.พ. 2020 1:41 pm บอร์ด Programming - C/C++ & java & Python	0	13	พฤ 27 ก.พ. 2020 1:41 pm โดย chatee supasand
เบราว์เซอร์ firefox ไม่แสดงเส้น border ครับ โดย waterwelon พ 26 ก.พ. 2020 3:39 pm บอร์ด HTML CSS	0	23	พ 26 ก.พ. 2020 3:39 pm โดย waterwelon
ทำแม้กระทั่งตอนนอน โดย noppadonsk พ 26 ก.พ. 2020 2:48 pm บอร์ด พูดคุยเรื่องทั่วไป จับฉ่าย	0	7	พ 26 ก.พ. 2020 2:48 pm โดย noppadonsk
อยากทราบวิธีตรวจสอบว่าอาเรย์ 2 ชุดมีค่าเหมือนกันหรือเปล่า ครับ โดย waterwelon อ 25 ก.พ. 2020 3:32 pm บอร์ด Programming - PHP	0	37	อ 25 ก.พ. 2020 3:32 pm โดย waterwelon
ความแข็งแกร่ง โดย noppadonsk อ 25 ก.พ. 2020 11:13 am บอร์ด พูดคุยเรื่องทั่วไป จับฉ่าย	0	15	อ 25 ก.พ. 2020 11:13 am โดย noppadonsk
อยากทราบวิธีตรวจสอบข้อมูลครับ โดย waterwelon อ 25 ก.พ. 2020 10:58 am บอร์ด Programming - PHP	2	37	อ 25 ก.พ. 2020 11:13 am โดย Ittichai_chupol
Welcome to International school in Chonburi. โดย tomtam1771 อ 25 ก.พ. 2020 12:30 am บอร์ด พูดคุยเรื่องทั่วไป จับฉ่าย	0	12	อ 25 ก.พ. 2020 12:30 am โดย tomtam1771
วิธีปิด ไม่ได้ teamviewerd ทำงานบน Ubunto โดย mindphp จ 24 ก.พ. 2020 4:31 pm บอร์ด Linux - Web Server	0	40	จ 24 ก.พ. 2020 4:31 pm โดย mindphp
แก้ปัญหา Vmware ของเรารัน Host ไม่ได้ เจอข้อความ This virtual machine is configured for 64-bit guest operating systems โดย mindphp จ 24 ก.พ. 2020 3:37 am บอร์ด ถาม - ตอบ คอมพิวเตอร์	0	1143	จ 24 ก.พ. 2020 3:37 am โดย mindphp
จะทำอย่างไรให้ ค่าในอาเรย์ที่ซ้ำกันเหลือแค่ค่าเดียวครับ โดย waterwelon ศ 21 ก.พ. 2020 2:04 pm บอร์ด Programming - PHP	2	61	ศ 21 ก.พ. 2020 2:34 pm โดย waterwelon
ความรุนแรงในเด็กๆ โดย noppadonsk ศ 21 ก.พ. 2020 11:47 am บอร์ด พูดคุยเรื่องทั่วไป จับฉ่าย	0	31	ศ 21 ก.พ. 2020 11:47 am โดย noppadonsk
องค์ประกอบพื้นฐานของการจัดทำ Extension ใน phpBB 3 ส่วนของ admin โดย Ittichai_chupol พฤ 20 ก.พ. 2020 1:56 pm บอร์ด PHP Knowledge	0	36	พฤ 20 ก.พ. 2020 1:56 pm โดย Ittichai_chupol
ประทานโทษ โดย noppadonsk พฤ 20 ก.พ. 2020 12:54 pm บอร์ด พูดคุยเรื่องทั่วไป จับฉ่าย	0	24	พฤ 20 ก.พ. 2020 12:54 pm โดย noppadonsk
มาแล้ว Plugin System MooZiiCart Auto Close สำหรับตั้งเวลาเปิดปิดระบบการสั่งซื้อสินค้าออนไลน์ โดย prmindphp พ 19 ก.พ. 2020 6:40 pm บอร์ด MindPHP News & Feedback	0	104	พ 19 ก.พ. 2020 6:40 pm โดย prmindphp
ถ้าคุณต้องเลือก โดย noppadonsk พ 19 ก.พ. 2020 11:22 am บอร์ด พูดคุยเรื่องทั่วไป จับฉ่าย	0	30	พ 19 ก.พ. 2020 11:22 am โดย noppadonsk
อยากจะทราบว่าวิธีการแสดงค่าอาเรย์แต่ล่ะค่าครับ โดย waterwelon พ 19 ก.พ. 2020 11:04 am บอร์ด Programming - PHP	2	61	พ 19 ก.พ. 2020 11:58 am โดย thatsawan
คลายเครียด โดย noppadonsk อ 18 ก.พ. 2020 2:50 pm บอร์ด พูดคุยเรื่องทั่วไป จับฉ่าย	0	45	อ 18 ก.พ. 2020 2:50 pm โดย noppadonsk

มาทำความรู้จัก Cross Site Request Forgery (CSRF) เพื่อเพิ่มความปลอดภัยกับเว็บไซต์

มาทำความรู้จัก Cross Site Request Forgery (CSRF) เพื่อเพิ่มความปลอดภัยกับเว็บไซต์

หลักการโจมตี

แนวทางการในการป้องกัน CSRF

บทความล่าสุด

บทความที่เกี่ยวข้อง

VDO บทเรียน live

สอนเขียนโปรแกรม

เนื้อหาใกล้เคียง

หัวข้อกระทู้

ตอบ

เปิดดู

ล่าสุด