குறுக்கு இணைய பொய் கோரிக்கை ஆவணம்
குறுக்கு இணைய பொய் கோரிக்கை ஆவணம் (Cross-site request forgery) எனப்படுவது ஓர் இணையதளம் தான் நம்பும் பயனர் அல்லது உலாவியிடமிருந்து உரிமையற்ற ஆணைகளைப் பெறும் வகையில் தீநோக்குடன் தன்னலச் செயல் புரிதலாகும்.[1] இது ஓர் சொடக்கு தாக்குதல் (one-click attack) அல்லது அமர்வு மேலேற்றம் (session riding) என்றும் ஆங்கிலச் சுருக்கத்தில் CSRF (சிசர்ஃப் என்ற உச்சரிப்புடன்) அல்லது XSRF என்றும் குறிப்பிடப்படுகிறது. ஓர் பயனரின் நம்பிக்கையுடைய இணையதளத்திற்கான தொடர்பில் தன்னலச்செயல் புரியும் குறுக்கு இணைய நிரல்வரி (XSS) போலன்றி இதில் ஓர் இணையதளம் பயனர் மீது கொண்டுள்ள நம்பிக்கை பயன்படுத்தப்படுகிறது.
குறுக்கு இணைய பொய் கோரிக்கை ஆவணம் என்பது இணையதளம், உலாவியின் மீதி வைத்துள்ள நம்பிக்கையை குலைத்து நடத்தப்படுகிறது. இந்தத் தாக்குதலில் பயனரின் உறுதிபடுத்துதலுக்குபின் தீங்கான செயல்களுக்கு உட்படுத்தபடுகிறார். தாக்குபவர் செய்ய நினைப்பதை பயனர் மூலம் செய்கிறார். உண்மையான பயனர் போல இருந்து முக்கியமான தகவல்களை கைப்பற்றுவதே குறுக்கு இணைய பொய் கோரிக்கையின் நோக்கமாகும். இதை வேளையைச் சாராத அடையாள எண் உதவியுடன் தடுக்கலாம்.கோரிக்கையை தடுப்பதா அல்லது அனுமதிப்பதா என்பதை வழங்கியின் பக்கம் உள்ள முகவர் முடிவு செய்யும். குறுக்கு இணைய நிரல்வரி என்பது வலை பயன்பாடுகளில், தாக்குபவர் சேவையுறுனர் பக்கம் எழுதுபிரதிநிதியை உட்செலுத்தி நடத்தப்படுகின்றது. இந்த தாக்குதலை கணிணி அரணின் உதவியுடன் தடுக்கலாம்.இது எழுத்துப்பிரதில் உள்ள செயற்கலத்தைச் சோதித்து முடிவெடுக்கும். சில விதிகளின் உதவியுடன் கோரிக்கையின் மூலம் முடிவெடுக்கப்படும்.
மேற்கோள்கள்
தொகு- ↑ Ristic, Ivan (2005). Apache Security. O'Reilly Media. p. 280. பன்னாட்டுத் தரப்புத்தக எண் 0-596-00724-8.
வெளியிணைப்புகள்
தொகு- A Most-Neglected Fact About Cross Site Request Forgery
- Using XSS to bypass CSRF protection
- eLearning: Cross-Site Request Forgery Explained பரணிடப்பட்டது 2012-03-20 at the வந்தவழி இயந்திரம்
- The Cross-Site Request Forgery FAQ
- Free Cross-Site Request Forgery Solution from OWASP
- Cross-Site Request Forgery from The Web Application Security Consortium Threat Classification Project
- XSS Cheat Sheet பரணிடப்பட்டது 2012-09-11 at the வந்தவழி இயந்திரம்