क्रॉस-साइट अनुरोध जालसाजी - Cross-Site Request Forgery(CSRF) का क्या अर्थ है?

क्रॉस-साइट अनुरोध जालसाजी (सीएसआरएफ) एक प्रकार का वेबसाइट शोषण है जो एक विश्वसनीय वेबसाइट उपयोगकर्ता से अनधिकृत आदेश जारी करके किया जाता है। क्रॉस-साइट स्क्रिप्टिंग के विपरीत, सीएसआरएफ किसी विशेष उपयोगकर्ता के ब्राउज़र के लिए वेबसाइट के भरोसे का फायदा उठाता है, जो वेबसाइट के लिए उपयोगकर्ता के भरोसे का फायदा उठाता है।

इस शब्द को सेशन राइडिंग या वन-क्लिक अटैक के रूप में भी जाना जाता है।

सीएसआरएफ आमतौर पर एक ब्राउज़र के "GET" कमांड को शोषण बिंदु के रूप में उपयोग करता है। CSR जालसाज एक विशिष्ट वेबसाइट में कमांड डालने के लिए "IMG" जैसे HTML टैग का उपयोग करते हैं। उस वेबसाइट के एक विशेष उपयोगकर्ता को तब एक मेजबान और एक अनजाने साथी के रूप में उपयोग किया जाता है। अक्सर वेबसाइट को यह नहीं पता होता है कि उस पर हमला हो रहा है, क्योंकि एक वैध उपयोगकर्ता कमांड भेज रहा है। हमलावर किसी अन्य खाते में धनराशि स्थानांतरित करने, अधिक धनराशि निकालने या, पेपाल और इसी तरह की साइटों के मामले में, दूसरे खाते में धन भेजने का अनुरोध जारी कर सकता है।

सीएसआरएफ हमले को अंजाम देना मुश्किल है क्योंकि इसके सफल होने के लिए कई चीजें होनी चाहिए:

• हमलावर को या तो ऐसी वेबसाइट को लक्षित करना चाहिए जो रेफरर हेडर (जो सामान्य है) की जांच नहीं करता है या एक ब्राउज़र या प्लग-इन बग के साथ उपयोगकर्ता/पीड़ित है जो रेफरर स्पूफिंग (जो दुर्लभ है) की अनुमति देता है।
• हमलावर को लक्ष्य वेबसाइट पर एक फॉर्म सबमिशन का पता लगाना चाहिए, जो पीड़ित के ईमेल पते को बदलने या धन हस्तांतरण करने जैसे कुछ करने में सक्षम होना चाहिए।
• हमलावर को सभी फ़ॉर्म या URL के इनपुट के लिए सही मान निर्धारित करना चाहिए। यदि उनमें से किसी को गुप्त मान या आईडी होना आवश्यक है जिसका हमलावर सटीक अनुमान नहीं लगा सकता है, तो हमला विफल हो जाएगा।
• हमलावर को उपयोगकर्ता/पीड़ित को दुर्भावनापूर्ण कोड वाले वेब पेज पर लुभाना चाहिए, जबकि पीड़ित लक्षित साइट पर लॉग इन है।

उदाहरण के लिए, मान लीजिए कि व्यक्ति A चैट रूम में रहते हुए भी अपना बैंक खाता ब्राउज़ कर रहा है। चैट रूम में एक हमलावर (व्यक्ति बी) है जो सीखता है कि व्यक्ति ए भी बैंक डॉट कॉम में लॉग इन है। व्यक्ति B व्यक्ति A को मजाकिया छवि के लिए एक लिंक पर क्लिक करने का लालच देता है। "IMG" टैग में bank.com के फॉर्म इनपुट के मान होते हैं, जो व्यक्ति A के खाते से व्यक्ति B के खाते में एक निश्चित राशि को प्रभावी रूप से स्थानांतरित कर देगा। अगर बैंक डॉट कॉम के पास फंड ट्रांसफर करने से पहले व्यक्ति ए के लिए सेकेंडरी ऑथेंटिकेशन नहीं है, तो अटैक सफल होगा।