تزوير الطلب عبر المواقع: الفرق بين النسختين

[نسخة منشورة]

تم حذف المحتوى تمت إضافة المحتوى

مضمن

النسخة الحالية 10:03، 29 فبراير 2024

تزوير الطلب عبر المواقع ‍(الإنجليزية: CSRF / one-click attack / session riding) هو أحد أنواع الاختراقات على مواقع الإنترنت، بحيث يتم إرسال معلومات خبيثة من المستخدم إلى موقع الإنترنت.^[1]

ثغرة من هذا النوع اكتشفها الطالب أمجد قبها في موقع البنتاغون وحظي ذلك بتغطية إعلامية. ^[2]

كيفية الاختراق

يتم الاختراق عن طريق Link أو Script في صفحة من الموقع بحيث يقوم المستخدم بطلبها، عن طريق صورة مثلاً.

مثال: بينما يقوم المستخدم بتسجيل دخوله إلى صفحته في البنك، يقوم المخترق بإرسال رسالة عبر موقع آخر، فبالتالي يتم تنفيذ الطلب في صفحة البنك.

نتائج الاختراق

من الممكن أن يؤدي ذلك إلى القيام بعمليات معينة على حساب مستخدم على موقع معين، كتحويل مبلغ مالي من موقع بنكي، أو تعديل اسم المستخدم أو حتى يمكن أن تصل لتغيير كلمة المرور.

حل الاختراق

معظم تقنيات الحماية من هذا الاختراق تعتمد على إرسال بيانات مخفية ضمن نماذج الإرسالة للتحقق من هوية المستخدم، أو ممكن عن طريق متحولات توجد ضمن الـ Session أو حتى الـ كوكي، ويتم إرسالها مع طلبات المستخدم، مما يتيح إمكانية تأكد الـ Web Application من مصدر الطلب.

المراجع

^ "معلومات عن تزوير الطلب عبر المواقع على موقع cwe.mitre.org". cwe.mitre.org. مؤرشف من الأصل في 2022-03-03.
^ http://www.yenisafak.com/en/technology/palestinian-undergraduate-finds-loophole-in-pentagons-website-2783056

هذه بذرة مقالة عن موضوع يتعلق بالإنترنت بحاجة للتوسيع. فضلًا شارك في تحريرها.

[1] "معلومات عن تزوير الطلب عبر المواقع على موقع cwe.mitre.org". cwe.mitre.org. مؤرشف من الأصل في 2022-03-03.

[2] ttps://www.yenisafak.com/en/technology/palestinian-undergraduate-finds-loophole-in-pentagons-website-2783056

[1]

[2]

@@ سطر 1: / سطر 1: @@
+'''تزوير الطلب عبر المواقع ''' {{وصلة لغة|en
-{{وصلات قليلة|تاريخ=أغسطس 2017}}
+|CSRF
-{{مصدر|تاريخ=فبراير 2016}}
-{{مقالة غير مراجعة|تاريخ=ديسمبر 2014}}
-{{يتيمة|تاريخ=ديسمبر 2014}}
-'''تزوير الطلب عبر المواقع ''' {{لغ|en
-|CRRF
 |2.1=one-click attack
-|2.2=session riding}} هو أحد أنواع الاختراقات على مواقع الانترنت، بحيث يتم إرسال معلومات خبيثة من المستخدم إلى موقع الانترنت.
+|2.2=session riding}} هو أحد أنواع الاختراقات على مواقع الإنترنت، بحيث يتم إرسال معلومات خبيثة من المستخدم إلى موقع الإنترنت.<ref>{{استشهاد ويب| مسار = https://cwe.mitre.org/data/definitions/352.html | عنوان = معلومات عن تزوير الطلب عبر المواقع على موقع cwe.mitre.org | ناشر = cwe.mitre.org| مسار أرشيف = https://web.archive.org/web/20220303182306/http://cwe.mitre.org/data/definitions/352.html | تاريخ أرشيف = 3 مارس 2022 }}</ref>
-ثغرة من هذا النوع اكتشفها الطالب أمجد قبها في موقع البنتاغون وحظي ذلك بتغطية إعلامية. {{`
+ثغرة من هذا النوع اكتشفها الطالب أمجد قبها في موقع البنتاغون وحظي ذلك بتغطية إعلامية. {{رر
 | http://www.yenisafak.com/en/technology/palestinian-undergraduate-finds-loophole-in-pentagons-website-2783056 }}
 == كيفية الاختراق ==
@@ سطر 19: / سطر 15: @@
 من الممكن أن يؤدي ذلك إلى القيام بعمليات معينة على حساب مستخدم على موقع معين، كتحويل مبلغ مالي من موقع بنكي، أو تعديل اسم المستخدم أو حتى يمكن أن تصل لتغيير كلمة المرور.
 == حل الاختراق ==
-معظم تقنيات الحماية من هذا الاختراق تعتمد على إرسال بيانات مخفية ضمن نماذج الإرسالة للتحقق من هوية المستخدم، أو ممكن عن طريق متحولات توجد ضمن الـ Session أو حتى الـ Cookies، ويتم إرسالها مع طلبات المستخدم، مما يتيح إمكانية تأكد الـ Web Application من مصدر الطلب.
+معظم تقنيات الحماية من هذا ال[[اختراق]] تعتمد على إرسال بيانات مخفية ضمن نماذج الإرسالة للتحقق من هوية المستخدم، أو ممكن عن طريق متحولات توجد ضمن الـ Session أو حتى الـ [[كعيكة|كوكي]]، ويتم إرسالها مع طلبات المستخدم، مما يتيح إمكانية تأكد الـ Web Application من مصدر الطلب.
+==المراجع==
+{{مراجع}}
 {{شريط بوابات|أمن الحاسوب|إنترنت}}
 {{بذرة إنترنت}}
-[[تصنيف:أمن شبكة الحاسوب]]
-[[تصنيف:استغلالات أمن الحاسوب]]
-[[تصنيف:استغلالات أمن الويب]]
-[[تصنيف:برمجة]]
 [[تصنيف:تطوير الويب]]