CSRF — איך אתר זדוני מבצע פעולות בשמכם
צוות CyberHub · לפני 28 ימים · 1 דק׳ קריאה
TL;DR · בקצרה
CSRF (Cross-Site Request Forgery) מנצל את העובדה שאתם מחוברים לאתר כדי לבצע פעולות בשמכם בלי ידיעתכם. נסביר ואיך מתגוננים.
נניח שאתם מחוברים לבנק שלכם בלשונית אחת. בלשונית אחרת אתם פותחים אתר תמים — ופתאום בוצעה העברה כספית. זו CSRF.
איך זה עובד?
- אתם מחוברים לאתר (יש לכם cookie פעיל).
- אתר זדוני גורם לדפדפן שלכם לשלוח בקשה לאתר שאליו אתם מחוברים (למשל טופס נסתר).
- הדפדפן שולח אוטומטית את ה-cookie שלכם — והאתר חושב שזו פעולה לגיטימית שלכם.
התוקף לא רואה את התגובה — אבל הפעולה כבר בוצעה (העברה, שינוי מייל, מחיקה).
איך מתגוננים?
- CSRF Tokens — האתר מוסיף לכל טופס ערך אקראי וסודי שאתר זדוני לא יכול לנחש.
- SameSite Cookies — מגדירים ש-cookie לא יישלח בבקשות מאתר אחר. הגנה חזקה ופשוטה.
- בדיקת Origin/Referer — לוודא שהבקשה הגיעה מהאתר עצמו.
הלקח
CSRF מנצל אמון של האתר בדפדפן שלכם. הפריימוורקים המודרניים כוללים הגנה מובנית — חשוב לא לכבות אותה.
📚 מקורות והפניות
💬 תגובות (0)
התחברו כדי להגיב.
אין עדיין תגובות. היו הראשונים! 🙂
🔴 עוד התקפה
SQL Injection מוסבר בפשטות
SQL Injection היא אחת החולשות הוותיקות והמסוכנות ב-web: התוקף 'מזריק' פקודות לבסיס הנתונים דרך שדה תמים. נסביר איך זה עובד ואיך מתגוננים.
XSS מוסבר — כשאתר מריץ קוד של תוקף בדפדפן שלכם
XSS (Cross-Site Scripting) היא חולשה שבה תוקף מזריק קוד JavaScript לאתר, והקוד רץ אצל משתמשים אחרים. נסביר את הסוגים ואיך מתגוננים.
Brute Force ו-Credential Stuffing — ניחוש סיסמאות בקנה מידה
תוקפים מנסים אינסוף סיסמאות (brute force) או משתמשים בסיסמאות שדלפו מאתרים אחרים (credential stuffing). נסביר ואיך עוצרים.