সুচিপত্র:
- সংজ্ঞা - ক্রস-সাইট অনুরোধ জালিয়াতি (সিএসআরএফ) এর অর্থ কী?
- টেকোপিডিয়া ক্রস-সাইট অনুরোধ জালিয়াতি (সিএসআরএফ) ব্যাখ্যা করে
সংজ্ঞা - ক্রস-সাইট অনুরোধ জালিয়াতি (সিএসআরএফ) এর অর্থ কী?
ক্রস-সাইট রিকোয়েস্ট ফোরজি (সিএসআরএফ) হ'ল এক ধরণের ওয়েবসাইটের শোষণ যা কোনও বিশ্বস্ত ওয়েবসাইট ব্যবহারকারী থেকে অননুমোদিত কমান্ড জারি করে পরিচালিত হয়। ক্রস-সাইট স্ক্রিপ্টিংয়ের বিপরীতে সিএসআরএফ নির্দিষ্ট ব্যবহারকারীর ব্রাউজারের জন্য কোনও ওয়েবসাইটের বিশ্বাসকে কাজে লাগায়, যা কোনও ওয়েবসাইটের জন্য ব্যবহারকারীর বিশ্বাসকে কাজে লাগায়।
এই শব্দটি সেশন রাইডিং বা এক-ক্লিক আক্রমণ হিসাবেও পরিচিত।
টেকোপিডিয়া ক্রস-সাইট অনুরোধ জালিয়াতি (সিএসআরএফ) ব্যাখ্যা করে
একটি সিএসআরএফ সাধারণত ব্রাউজারের "জিইটি" কমান্ডটি এক্সপ্লিট পয়েন্ট হিসাবে ব্যবহার করে। সিএসআর ফোরগাররা একটি নির্দিষ্ট ওয়েবসাইটে কমান্ড ইনজেক্ট করতে "আইএমজি" এর মতো এইচটিএমএল ট্যাগগুলি ব্যবহার করে। সেই ওয়েবসাইটটির একটি নির্দিষ্ট ব্যবহারকারী তখন হোস্ট এবং অযাচিত সহযোগী হিসাবে ব্যবহৃত হয়। কোনও আইনী ব্যবহারকারী কমান্ড পাঠাচ্ছেন বলে প্রায়শই ওয়েবসাইটটি জানেন না যে এটি আক্রমণে রয়েছে। আক্রমণকারী অন্য অ্যাকাউন্টে তহবিল স্থানান্তর করতে, আরও তহবিল প্রত্যাহার করতে বা পেপাল এবং অনুরূপ সাইটের ক্ষেত্রে অন্য কোনও অ্যাকাউন্টে অর্থ প্রেরণের অনুরোধ জানাতে পারে।
সিএসআরএফের আক্রমণ কার্যকর করা শক্ত কারণ কারণ এটি সফল হওয়ার জন্য বেশ কয়েকটি জিনিস ঘটতে হয়:
- আক্রমণকারীকে অবশ্যই এমন কোনও ওয়েবসাইটকে টার্গেট করতে হবে যা রেফারার শিরোলেখ যাচাই করে না (যা প্রচলিত) অথবা ব্যবহারকারী / ব্রাউজারের সাথে ক্ষতিগ্রস্থ বা প্লাগ-ইন বাগ যা রেফারটিকে ফাঁকি দেওয়ার অনুমতি দেয় (যা বিরল)।
- আক্রমণকারীকে অবশ্যই লক্ষ্য ওয়েবসাইটটিতে একটি ফর্ম জমা দেওয়ার সন্ধান করতে হবে, যা অবশ্যই ভুক্তভোগীর ইমেল ঠিকানা লগইন শংসাপত্রগুলি পরিবর্তন করতে বা অর্থ স্থানান্তর করার মতো কিছু সক্ষম হতে হবে।
- আক্রমণকারীকে অবশ্যই ফর্মের বা URL এর সমস্ত ইনপুটগুলির জন্য সঠিক মান নির্ধারণ করতে হবে। যদি তাদের মধ্যে কোনও গোপনীয় মান বা আইডি হওয়ার প্রয়োজন হয় যা আক্রমণকারী সঠিকভাবে অনুমান করতে পারে না, আক্রমণ ব্যর্থ হবে।
- আক্রমণকারীটিকে লক্ষ্য সাইটে লগ ইন করার সময় ব্যবহারকারীকে / ক্ষতিগ্রস্থকে দূষিত কোড সহ একটি ওয়েব পৃষ্ঠায় লোভ দিতে হবে।
উদাহরণস্বরূপ, ধরুন যে ব্যক্তি এ কোনও চ্যাট রুমে থাকার সময় তার ব্যাংক অ্যাকাউন্ট ব্রাউজ করছে। চ্যাট রুমে একজন আক্রমণকারী (পার্সন বি) রয়েছেন যিনি জানতে পারেন যে ব্যক্তি এও ব্যাংক ডটকমে লগ ইন করেছেন। ব্যক্তি বি একটি মজাদার চিত্রের জন্য একটি লিঙ্কে ক্লিক করতে ব্যক্তি এটিকে আকৃষ্ট করে। "আইএমজি" ট্যাগটিতে ব্যাঙ্ক ডটকমের ফর্ম ইনপুটগুলির মান রয়েছে যা কার্যকরভাবে এ-এর অ্যাকাউন্ট থেকে ব্যক্তি বি এর অ্যাকাউন্টে একটি নির্দিষ্ট পরিমাণ স্থানান্তর করবে। যদি তহবিল স্থানান্তর হওয়ার আগে ব্যাঙ্ক ডটকমের ব্যক্তি এ এর জন্য গৌণ প্রমাণীকরণ না থাকে, আক্রমণ সফল হবে।
