ይህ የብሎግ ልጥፍ የCSRF (የመስቀል-ጣቢያ ጥያቄ የውሸት) ጥቃቶችን፣ የድር ደህንነት ወሳኝ ገጽታ እና እነሱን ለመከላከል ጥቅም ላይ የሚውሉ ቴክኒኮችን ይመረምራል። CSRF (የመስቀል-ጣቢያ ጥያቄ ፎርጀሪ) ምን እንደሆነ፣ ጥቃቶች እንዴት እንደሚፈጠሩ እና ወደ ምን ሊያደርሱ እንደሚችሉ ያብራራል። እንዲሁም ከእንደዚህ አይነት ጥቃቶች ጥንቃቄዎች እና በሚገኙ የመከላከያ መሳሪያዎች እና ዘዴዎች ላይ ያተኩራል. ጽሑፉ ከCSRF (የመስቀል-ጣቢያ ጥያቄ ፎርጀሪ) ጥቃቶችን ለመከላከል ተግባራዊ ምክሮችን ይሰጣል እና ወቅታዊ ስታቲስቲክስን በመጥቀስ የርዕሱን አስፈላጊነት ያጎላል። በመጨረሻ፣ አንባቢዎች CSRFን ለመዋጋት በጣም ውጤታማ መንገዶችን እና የተጠቆሙ የድርጊት መርሃ ግብሮችን ጨምሮ አጠቃላይ መመሪያ ቀርቧል።

CSRF (የጣቢያ-መስቀል ጥያቄ ሐሰተኛ) ምንድን ነው?

CSRF (የጣቢያ-መስቀል ጥያቄ የውሸት)ተጋላጭነት ተጠቃሚው አሳሽ ውስጥ ሲገባ ተንኮል አዘል ድረ-ገጽ በሌላ ጣቢያ ላይ ያልተፈቀዱ ድርጊቶችን እንዲፈጽም የሚያስችል የድር ተጋላጭነት ነው። ያልተፈቀዱ ጥያቄዎችን እንደ የተጎጂው ማንነት በመላክ አጥቂው ያለተጠቃሚው እውቀት ወይም ፍቃድ እርምጃዎችን ማከናወን ይችላል። ለምሳሌ፣ የተጎጂውን የይለፍ ቃል መቀየር፣ ገንዘብ ማስተላለፍ ወይም የኢሜይል አድራሻቸውን መቀየር ይችላሉ።

የCSRF ጥቃቶች በተለምዶ የሚከናወኑት በማህበራዊ ምህንድስና ነው። አጥቂው ተጎጂውን ተንኮል-አዘል አገናኝ ጠቅ እንዲያደርግ ወይም ተንኮል አዘል ድር ጣቢያ እንዲጎበኝ ያሳምናል። ይህ ድረ-ገጽ ተጎጂው በአሳሹ ውስጥ ወደ ገባበት ኢላማው ድረ-ገጽ በራስ ሰር ጥያቄዎችን ይልካል። አሳሹ ወዲያውኑ እነዚህን ጥያቄዎች ወደ ኢላማው ጣቢያ ይልካል፣ ከዚያም ጥያቄው ከተጠቂው እንደመጣ ያስባል።

ባህሪ	ማብራሪያ	የመከላከያ ዘዴዎች
ፍቺ	ያለተጠቃሚ ፍቃድ ጥያቄዎችን በመላክ ላይ	CSRF ቶከኖች፣ SameSite ኩኪዎች
አላማ	ዒላማዎች የገቡ ተጠቃሚዎች	የማረጋገጫ ዘዴዎችን ማጠናከር
ውጤቶች	የውሂብ ስርቆት፣ ያልተፈቀዱ ግብይቶች	ግብዓቶችን እና ውጤቶችን በማጣራት ላይ
ስርጭት	በድር መተግበሪያዎች ውስጥ የተለመደ ተጋላጭነት	መደበኛ የደህንነት ሙከራዎችን ማካሄድ

ከCSRF ጥቃቶች ለመከላከል የተለያዩ እርምጃዎችን መውሰድ ይቻላል። እነዚህም የሚከተሉትን ያካትታሉ: CSRF ቶከኖች ለመጠቀም፣ SameSite ኩኪዎች እና ለአስፈላጊ እርምጃዎች ከተጠቃሚው ተጨማሪ ማረጋገጫን ይፈልጋል። የድር ገንቢዎች መተግበሪያዎቻቸውን ከCSRF ጥቃቶች ለመጠበቅ እነዚህን እርምጃዎች መተግበር አለባቸው።

የCSRF መሰረታዊ ነገሮች

• CSRF ያለተጠቃሚው እውቀት ያልተፈቀዱ ድርጊቶች እንዲከናወኑ ይፈቅዳል።
• አጥቂው የተጎጂውን ማንነት በመጠቀም ጥያቄዎችን ይልካል።
• ማህበራዊ ምህንድስና ብዙ ጊዜ ጥቅም ላይ ይውላል.
• CSRF tokens እና SameSite ኩኪዎች አስፈላጊ የመከላከያ ዘዴዎች ናቸው።
• የድር ገንቢዎች መተግበሪያዎቻቸውን ለመጠበቅ ጥንቃቄዎችን ማድረግ አለባቸው።
• በመደበኛ የደህንነት ሙከራ ተጋላጭነቶችን ማወቅ ይቻላል።

CSRFለድር መተግበሪያዎች ከባድ ስጋት ነው፣ እና እንደዚህ አይነት ጥቃቶችን ለመከላከል ገንቢዎች ጥንቃቄዎችን ማድረግ አስፈላጊ ነው። ተጠቃሚዎች አጠራጣሪ አገናኞችን ጠቅ በማድረግ እና የታመኑ ድረ-ገጾችን በመጠቀም እራሳቸውን መጠበቅ ይችላሉ።

የCSRF ጥቃቶች አጠቃላይ እይታ

CSRF (የጣቢያ-መስቀል ጥያቄ የውሸት) ጥቃቶች ተንኮል አዘል ድረ-ገጽ ወደ ተጠቃሚው አሳሽ በገባ ሌላ ድረ-ገጽ ላይ ያለተጠቃሚው እውቀት ወይም ፍቃድ እርምጃዎችን እንዲፈጽም ያስችለዋል። እነዚህ ጥቃቶች በተለምዶ የሚፈጸሙት ተጠቃሚው በሚያምነው ጣቢያ በኩል ያልተፈቀዱ ትዕዛዞችን በመላክ ነው። ለምሳሌ፣ አጥቂ እንደ የባንክ መተግበሪያ ውስጥ ገንዘብ ማስተላለፍ ወይም ወደ ማህበራዊ ሚዲያ መለያ መለጠፍ ያሉ ድርጊቶችን ኢላማ ሊያደርግ ይችላል።

• የCSRF ጥቃቶች ባህሪያት
• በአንድ ጠቅታ ማድረግ ይቻላል.
• ተጠቃሚው እንዲገባ ይፈልጋል።
• አጥቂው የተጠቃሚውን ምስክርነት በቀጥታ ማግኘት አይችልም።
• ብዙውን ጊዜ የማህበራዊ ምህንድስና ቴክኒኮችን ያካትታል.
• ጥያቄዎች በተጎጂው አሳሽ በኩል ይላካሉ።
• የዒላማው የድር መተግበሪያ የክፍለ ጊዜ አስተዳደር ተጋላጭነቶችን ይጠቀማል።

የCSRF ጥቃቶች በተለይ በድር መተግበሪያዎች ውስጥ ያሉ ተጋላጭነቶችን ይጠቀማሉ። በእነዚህ ጥቃቶች አንድ አጥቂ ተጠቃሚው ወደገባበት ድረ-ገጽ በተንኮል አዘል ሊንክ ወይም በተጠቂው አሳሽ ውስጥ በተከተተ ስክሪፕት በኩል ጥያቄዎችን ይልካል። እነዚህ ጥያቄዎች እንደ ተጠቃሚው ጥያቄ ሆነው ይቀርባሉ ስለዚህም በድር አገልጋዩ እንደ ህጋዊ ይቆጠራሉ። ይህ አጥቂው በተጠቃሚው መለያ ላይ ያልተፈቀዱ ለውጦችን እንዲያደርግ ወይም ሚስጥራዊነት ያለው ውሂብ እንዲደርስ ያስችለዋል።

የጥቃት ዓይነት	ማብራሪያ	የመከላከያ ዘዴዎች
በGET ላይ የተመሰረተ CSRF	አጥቂው በግንኙነት በኩል ጥያቄ ይልካል።	AntiForgeryToken አጠቃቀም ፣ የማጣቀሻ መቆጣጠሪያ።
በድህረ-ተኮር CSRF	አጥቂው ቅጽ በማስገባት ጥያቄ ይልካል።	AntiForgeryToken አጠቃቀም፣ CAPTCHA።
JSON የተመሰረተ CSRF	አጥቂው ጥያቄን በJSON ውሂብ ይልካል።	የብጁ ራስጌዎች ቁጥጥር፣ የ CORS ፖሊሲዎች።
በፍላሽ ላይ የተመሰረተ CSRF	አጥቂው ጥያቄውን በፍላሽ መተግበሪያ በኩል ይልካል።	ፍላሽ ማሰናከል፣ የደህንነት ዝማኔዎች።

እነዚህን ጥቃቶች ለመከላከል የተለያዩ የመከላከያ ዘዴዎች ተዘጋጅተዋል. በጣም ከተለመዱት ዘዴዎች አንዱ ነው AntiForgeryToken ይህ ዘዴ ለእያንዳንዱ ቅፅ ማስረከቢያ ልዩ ማስመሰያ ያመነጫል፣ ይህም ጥያቄው በህጋዊ ተጠቃሚ የቀረበ መሆኑን ያረጋግጣል። ሌላው ዘዴ ነው SameSite ኩኪዎች እነዚህ ኩኪዎች የሚላኩት በተመሳሳዩ ድረ-ገጽ ውስጥ ካሉ ጥያቄዎች ጋር ብቻ ነው፣ ስለዚህ የጣቢያ አቋራጭ ጥያቄዎችን ይከላከላል። እንዲሁም፣ ዋቢ የራስጌውን መፈተሽ ጥቃቶችን ለመከላከልም ይረዳል።

CSRF ጥቃቶች በድር መተግበሪያዎች ላይ ከባድ ስጋት ይፈጥራሉ እና በሁለቱም ተጠቃሚዎች እና ገንቢዎች በጥንቃቄ መያዝ አለባቸው። ጠንካራ መከላከያዎችን መተግበር እና የተጠቃሚዎችን ግንዛቤ ማሳደግ የእንደዚህ አይነት ጥቃቶችን ተፅእኖ ለመቀነስ ወሳኝ ናቸው. የድር ገንቢዎች መተግበሪያዎቻቸውን በሚነድፉበት ጊዜ የደህንነት መርሆችን ግምት ውስጥ ማስገባት እና መደበኛ የደህንነት ሙከራዎችን ማካሄድ አለባቸው።

የCSRF ጥቃቶች እንዴት ይከናወናሉ?

CSRF (የጣቢያ-መስቀል ጥያቄ የውሸት) የወረራ ጥቃቶች ተንኮል አዘል ድር ጣቢያ ወይም መተግበሪያ ተጠቃሚው ሳያውቅ ወይም ፍቃድ በተፈቀደለት የተጠቃሚ አሳሽ በኩል ጥያቄዎችን መላክን ያካትታል። እነዚህ ጥቃቶች የሚከሰቱት ተጠቃሚው በገባበት የድር መተግበሪያ ውስጥ ነው (ለምሳሌ የባንክ ጣቢያ ወይም የማህበራዊ ሚዲያ መድረክ)። ተንኮል አዘል ኮድ ወደ ተጠቃሚው አሳሽ በማስገባት አጥቂው ተጠቃሚው ሳያውቅ እርምጃዎችን ማከናወን ይችላል።

CSRF የዚህ ጥቃት ዋና መንስኤ የድር መተግበሪያዎች HTTP ጥያቄዎችን ለማረጋገጥ በቂ የደህንነት እርምጃዎችን አለመተግበሩ ነው። ይህ አጥቂዎች ጥያቄዎችን እንዲፈጥሩ እና እንደ ህጋዊ የተጠቃሚ ጥያቄዎች እንዲያቀርቡ ያስችላቸዋል። ለምሳሌ፣ አጥቂ አንድ ተጠቃሚ የይለፍ ቃሉን እንዲቀይር፣ ገንዘባቸውን እንዲያስተላልፍ ወይም የመገለጫ መረጃውን እንዲያዘምን ሊያስገድድ ይችላል። የእነዚህ አይነት ጥቃቶች ለሁለቱም ለግለሰብ ተጠቃሚዎች እና ለትላልቅ ድርጅቶች ከባድ መዘዝ ሊያስከትሉ ይችላሉ.

የጥቃት ዓይነት	ማብራሪያ	ለምሳሌ
URL ላይ የተመሰረተ CSRF	አጥቂው ተንኮል አዘል ዩአርኤል ይፈጥራል እና ተጠቃሚው ጠቅ እንዲያደርግ ያበረታታል።	<a href="http://example.com/transfer?to=attacker&amount=1000">ሽልማት አግኝተዋል!</a>
ቅጽ ላይ የተመሠረተ CSRF	አጥቂው በራስ ሰር የሚያቀርብ ቅጽ በመፍጠር ተጠቃሚውን ያታልላል።	<form action=http://example.com/transfer method=POST><input type=hidden name=to value=attacker><input type=hidden name=amount value=1000><input type=submit value=Gönder></form>
JSON የተመሰረተ CSRF	ጥቃቱ የሚፈጸመው በኤፒአይ ጥያቄዎች ውስጥ ተጋላጭነቶችን በመጠቀም ነው።	አምጣ('http://example.com/api/transfer'፣ {ዘዴ፡ 'POST'፣ body: JSON.stringify({ ወደ: 'አጥቂ'፣ መጠን፡ 1000))
በምስል መለያ CSRF	አጥቂው የምስል መለያን በመጠቀም ጥያቄ ይልካል።	<img src="http://example.com/transfer?to=attacker&amount=1000">

CSRF ጥቃቶች ስኬታማ እንዲሆኑ ተጠቃሚው ወደ ኢላማው ድረ-ገጽ መግባት አለበት፣ እና አጥቂው ተንኮል አዘል ጥያቄን ወደ ተጠቃሚው አሳሽ መላክ አለበት። ይህ ጥያቄ በአብዛኛው የሚቀርበው በኢሜል፣ በድር ጣቢያ ወይም በመድረክ ልጥፍ ነው። ተጠቃሚው ጥያቄውን ጠቅ ሲያደርግ አሳሹ በቀጥታ ወደ ኢላማው ድረ-ገጽ ይልካል ይህም ከተጠቃሚው ምስክርነቶች ጋር ይላካል። ስለዚህ, የድር መተግበሪያዎች CSRF ከጥቃት መከላከል በጣም አስፈላጊ ነው.

የጥቃት ሁኔታዎች

CSRF ጥቃቶች በተለምዶ በተለያዩ ሁኔታዎች ይከናወናሉ. በጣም ከተለመዱት ሁኔታዎች አንዱ በኢሜል የተላከ ተንኮል አዘል አገናኝ ነው። ተጠቃሚው በዚህ አገናኝ ላይ ጠቅ ሲያደርግ ከበስተጀርባ ተንኮል አዘል አገናኝ ይፈጠራል። CSRF ተንኮል አዘል ጥቃት ተቀስቅሷል እና እርምጃዎች ያለተጠቃሚው እውቀት ይከናወናሉ። ሌላው ሁኔታ በተንኮል አዘል ምስል ወይም በታመነ ድር ጣቢያ ላይ በተቀመጠው የጃቫ ስክሪፕት ኮድ የሚደርስ ጥቃት ነው።

አስፈላጊ መሣሪያዎች

CSRF ጥቃቶችን ለማከናወን ወይም ለመሞከር የተለያዩ መሳሪያዎች ጥቅም ላይ ሊውሉ ይችላሉ. እነዚህ መሳሪያዎች Burp Suite፣ OWASP ZAP እና የተለያዩ ብጁ ስክሪፕቶችን ያካትታሉ። እነዚህ መሳሪያዎች አጥቂዎች የውሸት ጥያቄዎችን እንዲፈጥሩ፣ የኤችቲቲፒ ትራፊክን ለመተንተን እና ተጋላጭነቶችን ለመለየት ይረዳሉ። የደህንነት ባለሙያዎች የድር መተግበሪያዎችን ደህንነት እና ደህንነትን ለመፈተሽ እነዚህን መሳሪያዎች መጠቀም ይችላሉ። CSRF ክፍተቶችን መለየት ይችላል.

የCSRF የጥቃት እርምጃዎች

1. በዒላማው የድር መተግበሪያ ውስጥ ያሉ ተጋላጭነቶችን መለየት።
2. ተጠቃሚው በገባበት ድረ-ገጽ ላይ ተንኮል አዘል ጥያቄ ተፈጥሯል።
3. ይህን ጥያቄ ከተጠቃሚው ለማስነሳት የማህበራዊ ምህንድስና ቴክኒኮችን በመጠቀም።
4. የተጠቃሚው አሳሽ የተጭበረበረውን ጥያቄ ወደ ኢላማው ድር ጣቢያ ይልካል።
5. የመድረሻ ድር ጣቢያው ጥያቄውን እንደ ህጋዊ የተጠቃሚ ጥያቄ ነው የሚመለከተው።
6. አጥቂው ያልተፈቀዱ ድርጊቶችን በተጠቃሚው መለያ በኩል ያደርጋል።

እንዴት መከላከል ይቻላል?

CSRF ጥቃቶችን ለመከላከል የተለያዩ ዘዴዎች አሉ. ከእነዚህ ዘዴዎች ውስጥ በጣም የተለመዱት የሚከተሉትን ያካትታሉ: CSRF ቶከኖች፣ SameSite ኩኪዎች እና ኩኪዎችን ድርብ ላክ። CSRF ቶከኖች ለእያንዳንዱ ቅፅ ወይም ጥያቄ ልዩ እሴት በማመንጨት አጥቂዎች የውሸት ጥያቄዎችን እንዳይፈጥሩ ይከላከላል። የSameSite ኩኪዎች ኩኪዎች በተመሳሳይ ጣቢያ ላይ ከጥያቄዎች ጋር ብቻ እንደሚላኩ ያረጋግጣሉ፣ CSRF ድርብ-አስረክብ ኩኪዎች፣ በሌላ በኩል፣ በሁለቱም በኩኪ እና በቅጽ መስክ ላይ ተመሳሳይ እሴት እንዲላክ በመጠየቅ አጥቂዎች ጥያቄዎችን እንዲፈጥሩ አስቸጋሪ ያደርገዋል።

በተጨማሪም፣ የድር መተግበሪያዎች በመደበኛነት የደህንነት ሙከራ ይደረግባቸዋል እና የደህንነት ድክመቶች ይስተናገዳሉ። CSRF ጥቃቶችን መከላከል አስፈላጊ ነው. ገንቢዎች፣ CSRF ጥቃቶች እንዴት እንደሚሠሩ እና እንዴት እንደሚከላከሉ መረዳት ደህንነታቸው የተጠበቁ መተግበሪያዎችን ለማዘጋጀት ወሳኝ ነው። ተጠቃሚዎች አጠራጣሪ አገናኞችን ማስወገድ እና የድር ጣቢያዎች ደህንነታቸው የተጠበቀ መሆኑን ማረጋገጥ አለባቸው።

በCSRF ጥቃቶች ላይ ሊደረጉ የሚችሉ ጥንቃቄዎች

CSRF (የጣቢያ-መስቀል ጥያቄ የውሸት) ለጥቃቶች የመከላከያ እርምጃዎች በሁለቱም ገንቢዎች እና ተጠቃሚዎች ሊተገበሩ የሚችሉ የተለያዩ ስልቶችን ያካትታሉ። እነዚህ እርምጃዎች አላማቸው ከአጥቂዎች የሚመጡ ተንኮል አዘል ጥያቄዎችን ለማገድ እና የተጠቃሚውን ደህንነት ለማረጋገጥ ነው። በመሰረቱ፣ እነዚህ እርምጃዎች የጥያቄዎችን ህጋዊነት በማረጋገጥ እና ያልተፈቀደ መዳረሻን በመከላከል ላይ ያተኩራሉ።

ውጤታማ የመከላከያ ስልት ለማግኘት በአገልጋዩ እና በደንበኛው በኩል መወሰድ ያለባቸው እርምጃዎች አሉ. በአገልጋዩ በኩል፣ የጥያቄዎችን ትክክለኛነት ለማረጋገጥ። CSRF ማስመሰያዎችን መጠቀም፣ የኩኪዎችን ወሰን በSameSite ኩኪዎች መገደብ እና ድርብ መላክ ኩኪዎችን መጠቀም አስፈላጊ ነው። በደንበኛው በኩል ተጠቃሚዎች የማይታወቁ ወይም ደህንነታቸው ያልተጠበቁ ግንኙነቶችን እንዲያስወግዱ ማስተማር እና የአሳሽ ደህንነት ቅንጅቶችን በትክክል ማዋቀር ወሳኝ ነው።

ሊደረጉ የሚገባቸው ጥንቃቄዎች

• የCSRF ቶከኖችን መጠቀም፡- ለእያንዳንዱ ክፍለ ጊዜ ልዩ ማስመሰያ በማመንጨት የጥያቄዎችን ትክክለኛነት ያረጋግጡ።
• የተመሳሳይ ጣቢያ ኩኪዎች፡- ኩኪዎች በተመሳሳይ ጣቢያ ላይ ከጥያቄዎች ጋር ብቻ እንደሚላኩ በማረጋገጥ CSRF አደጋውን ይቀንሱ.
• ድርብ የማስረከቢያ ኩኪዎች፡- በሁለቱም በኩኪው እና በጥያቄው አካል ውስጥ ተመሳሳይ እሴት መኖሩን በማረጋገጥ ማረጋገጥን ያጠናክሩ።
• የመነሻ ቁጥጥር (የመነሻ ራስጌ) የጥያቄዎችን ምንጭ በማጣራት ያልተፈቀዱ ጥያቄዎችን አግድ።
• የተጠቃሚ ስልጠና፡- ተጠቃሚዎች አጠራጣሪ አገናኞችን እና ኢሜይሎችን እንዲያውቁ ያድርጉ።
• የደህንነት ርዕሶች፡- እንደ X-Frame-Options እና Content-Security-Policy ያሉ የደህንነት ራስጌዎችን በመጠቀም ተጨማሪ ጥበቃን ያቅርቡ።

ከዚህ በታች ባለው ሠንጠረዥ ውስጥ. CSRF በጥቃቶች ላይ ሊወሰዱ የሚችሉ የመከላከያ እርምጃዎችን እና እያንዳንዱ የመከላከያ እርምጃ ውጤታማ የሚሆነውን የጥቃቱን አይነት ማጠቃለያ ማየት ይችላሉ። ይህ ሰንጠረዥ ገንቢዎች እና የደህንነት ባለሙያዎች የትኞቹን የመልሶ ማቋቋም እርምጃዎች መተግበር እንዳለባቸው በመረጃ ላይ የተመሰረተ ውሳኔ እንዲያደርጉ ይረዳል።

ጥንቃቄ	ማብራሪያ	ጥቃቶች በ ላይ ውጤታማ ናቸው
CSRF ማስመሰያዎች	ለእያንዳንዱ ጥያቄ ልዩ ምልክት በማመንጨት የጥያቄውን ትክክለኛነት ያረጋግጣል።	መሰረት CSRF ጥቃቶች
ተመሳሳይ ጣቢያ ኩኪዎች	ኩኪዎች በተመሳሳይ ጣቢያ ላይ በጥያቄዎች ብቻ እንደሚላኩ ያረጋግጣል።	የጣቢያ ተሻጋሪ ጥያቄ የውሸት
ድርብ ማስረከቢያ ኩኪዎች	በሁለቱም በኩኪው እና በጥያቄው አካል ውስጥ ለመገኘት ተመሳሳይ እሴት ያስፈልገዋል።	የማስመሰያ ስርቆት ወይም ማጭበርበር
የመነሻ ቁጥጥር	ያልተፈቀዱ ጥያቄዎችን የጥያቄዎችን ምንጭ በማጣራት ይከላከላል።	የጎራ ስም ማጭበርበር

መሆኑን መዘንጋት የለበትም። CSRF የእነዚህ እርምጃዎች ጥምረት ከጥቃቶች ሙሉ ጥበቃን ለመስጠት ጥቅም ላይ መዋል አለበት. ከሁሉም የጥቃት ቫይረሶች ለመከላከል ምንም አይነት መለኪያ በቂ ላይሆን ይችላል. ስለዚህ, የተደራራቢ የደህንነት አሰራርን መከተል እና የተጋላጭ ሁኔታዎችን በየጊዜው መመርመር አስፈላጊ ነው. በተጨማሪም የደህንነት ፖሊሲዎችን እና ሂደቶችን በመደበኛነት ማዘመን ለአዳዲስ አደጋዎች ዝግጁነትን ያረጋግጣል።

የCSRF ውጤቶች እና ውጤቶች

CSRF የድረ-ገጽ ተሻጋሪ ጥያቄ ፎርጀሪ (CRF) ጥቃቶች ለተጠቃሚዎች እና ለድር መተግበሪያዎች ከባድ መዘዝ ሊያስከትሉ ይችላሉ። እነዚህ ጥቃቶች ያልተፈቀዱ ግብይቶችን ይፈቅዳሉ፣ የተጠቃሚዎችን መለያዎች እና ሚስጥራዊ መረጃዎችን አደጋ ላይ ይጥላሉ። አጥቂዎች የተለያዩ ተንኮል አዘል ድርጊቶችን ለመፈጸም በተጠቃሚዎች ያላሰቡትን እርምጃዎች ሊጠቀሙ ይችላሉ። ይህ ለግለሰብ ተጠቃሚዎች ብቻ ሳይሆን ለኩባንያዎች እና ድርጅቶች ከፍተኛ መልካም ስም እና የገንዘብ ኪሳራ ሊያስከትል ይችላል.

የCSRF ጥቃቶችን ሊያስከትሉ የሚችሉትን ተፅእኖ መረዳት የበለጠ ውጤታማ መከላከያዎችን ለማዘጋጀት ወሳኝ ነው። ጥቃቶች የተጠቃሚ መለያ ቅንብሮችን ከመቀየር እስከ ገንዘብ ማስተላለፍ እና ያልተፈቀደ ይዘትን እስከ ማተም ድረስ ሊደርሱ ይችላሉ። እነዚህ ድርጊቶች የተጠቃሚውን እምነት የሚሸረሽሩ ብቻ ሳይሆን የድር መተግበሪያዎችን አስተማማኝነትም ያበላሻሉ።

የCSRF አሉታዊ ውጤቶች

• መለያ መውሰድ እና ያልተፈቀደ መዳረሻ።
• የተጠቃሚ ውሂብን መጠቀም ወይም መሰረዝ።
• የገንዘብ ኪሳራ (ያልተፈቀደ የገንዘብ ዝውውሮች, ግዢዎች).
• መልካም ስም ማጣት እና የደንበኛ እምነት ማጣት.
• የድር መተግበሪያ ሀብቶችን አላግባብ መጠቀም።
• የህግ ጉዳዮች እና ህጋዊ ኃላፊነቶች.

ከዚህ በታች ያለው ሰንጠረዥ የCSRF ጥቃቶች በተለያዩ ሁኔታዎች ሊያስከትሉ የሚችሉትን ውጤቶች በበለጠ ዝርዝር ይመረምራል፡

የጥቃት ሁኔታ	ሊሆኑ የሚችሉ ውጤቶች	የተጎዳ ፓርቲ
የይለፍ ቃል ለውጥ	የተጠቃሚ መለያ መዳረሻ ማጣት, የግል ውሂብ ስርቆት.	ተጠቃሚ
ከባንክ ሂሳብ ገንዘብ ማስተላለፍ	ያልተፈቀዱ የገንዘብ ዝውውሮች, የገንዘብ ኪሳራዎች.	ተጠቃሚ ፣ ባንክ
ማህበራዊ ሚዲያ መጋራት	ያልተፈለገ ወይም ጎጂ ይዘትን ማሰራጨት, መልካም ስም ማጣት.	ተጠቃሚ፣ ማህበራዊ ሚዲያ መድረክ
በኢ-ኮሜርስ ጣቢያ ላይ ማዘዝ	ያልተፈቀዱ የምርት ትዕዛዞች, የገንዘብ ኪሳራዎች.	ተጠቃሚ, ኢ-ኮሜርስ ጣቢያ

እነዚህ ውጤቶች, CSRF ይህም የእነዚህን ጥቃቶች አሳሳቢነት ያሳያል። ስለዚህ ለድር ገንቢዎች እና የስርዓት አስተዳዳሪዎች እንደዚህ ባሉ ጥቃቶች ላይ ንቁ እርምጃዎችን እንዲወስዱ እና የተጠቃሚዎችን ግንዛቤ ማሳደግ ወሳኝ ነው። የተጠቃሚ ውሂብን ለመጠበቅ እና የድር መተግበሪያዎችን ደህንነት ለማረጋገጥ ጠንካራ መከላከያዎችን መተግበር አስፈላጊ ነው።

መሆኑን መዘንጋት የለበትም። ውጤታማ የመከላከያ ስልት ይህ ስልት በቴክኒካል እርምጃዎች ብቻ የተገደበ መሆን የለበትም; የተጠቃሚው ግንዛቤ እና ትምህርት የዚህ ስትራቴጂ ዋና አካል መሆን አለበት። ቀላል እርምጃዎች እንደ አጠራጣሪ አገናኞችን አለመጫን፣ ወደማይታመኑ ድረ-ገጾች መግባትን እና የይለፍ ቃላትን በመደበኛነት መቀየር የCSRF ጥቃቶችን በመከላከል ረገድ ትልቅ ሚና ይጫወታሉ።

CSRF የመከላከያ መሳሪያዎች እና ዘዴዎች

CSRF የድረ-ገጽ አቋራጭ ጥያቄ ፎርጀሪ (CRF) ጥቃቶችን ለመከላከል ውጤታማ የመከላከያ ስትራቴጂ ማዘጋጀት የድር መተግበሪያዎችን ለመጠበቅ ወሳኝ ነው። እነዚህ ጥቃቶች ያለተጠቃሚ እውቀት ወይም ፍቃድ ያልተፈቀዱ ድርጊቶችን ለመፈጸም ስለሚሞክሩ፣ ሁለገብ፣ የተደራረበ የመከላከያ ዘዴ አስፈላጊ ነው። በዚህ ክፍል እ.ኤ.አ. CSRF ጥቃቶችን ለመከላከል እና ለመከላከል የሚረዱ የተለያዩ መሳሪያዎች እና ዘዴዎች ይመረመራሉ.

የድር መተግበሪያዎች CSRF ከእነዚህ ጥቃቶች ለመከላከል ጥቅም ላይ ከሚውሉት ዋና የመከላከያ ዘዴዎች ውስጥ አንዱ የተመሳሰለ ቶከን ጥለት (STP) ነው። በዚህ ሞዴል ለእያንዳንዱ ተጠቃሚ ክፍለ ጊዜ በአገልጋዩ የተፈጠረ ልዩ ምልክት ተከማችቶ በእያንዳንዱ ቅፅ ማስረከቢያ ወይም ወሳኝ የግብይት ጥያቄ ይላካል። አገልጋዩ የተቀበለውን ማስመሰያ በክፍለ ጊዜው ውስጥ ከተከማቸ ማስመሰያ ጋር በማነፃፀር የጥያቄውን ህጋዊነት ያረጋግጣል። ይህ ከተለየ ጣቢያ የማጭበርበሪያ ጥያቄዎችን ይከላከላል።

የመከላከያ መሳሪያዎች

• የተመሳሰለ ማስመሰያ ሞዴል (STP)፦ ለእያንዳንዱ ቅፅ ልዩ ምልክቶችን በማመንጨት የጥያቄዎችን ትክክለኛነት ያረጋግጣል።
• ድርብ ኩኪዎችን አስገባ፡ በሁለቱም በኩኪው እና በጥያቄው ግቤት ውስጥ የዘፈቀደ እሴት በመላክ CSRF ጥቃቶችን ይከላከላል.
• የተመሳሳይ ጣቢያ ኩኪዎች፡- ኩኪዎች ከተመሳሳይ ጣቢያ በተጠየቁ ጥያቄዎች ብቻ እንደሚላኩ በማረጋገጥ CSRF አደጋን ይቀንሳል.
• CSRF ቤተ-መጻሕፍት እና ማዕቀፎች፡- ለተለያዩ የፕሮግራም ቋንቋዎች እና ማዕቀፎች የተገነባ ፣ CSRF ጥበቃን የሚሰጡ ዝግጁ መፍትሄዎችን ያቀርባል.
• የራስጌ መቆጣጠሪያዎችን ይጠይቁ (ማጣቀሻ/መነሻ)፦ ካልተፈቀደላቸው ምንጮች የሚቀርቡ ጥያቄዎችን የሚያግድ ጥያቄው የመጣበትን ምንጭ በማጣራት ነው።

ከታች ባለው ሠንጠረዥ ውስጥ, የተለየ CSRF የመከላከያ ዘዴዎችን ባህሪያት እና ንፅፅር በተመለከተ ዝርዝር መረጃ ተሰጥቷል. ይህ መረጃ የትኛው ዘዴ ለእያንዳንዱ ሁኔታ ተስማሚ እንደሆነ ለመወሰን ይረዳል.

የመከላከያ ዘዴ	ማብራሪያ	ጥቅሞች	ጉዳቶች
የተመሳሰለ ማስመሰያ ሞዴል (STP)	ለእያንዳንዱ ቅጽ ልዩ ምልክቶችን ማመንጨት	ከፍተኛ ደህንነት, ሰፊ አጠቃቀም	የአገልጋይ-ጎን በላይ, ማስመሰያ አስተዳደር
ኩኪዎችን ድርብ-ላክ	በኩኪ እና የጥያቄ መለኪያ ውስጥ ተመሳሳይ ዋጋ	ቀላል አተገባበር፣ አገር ከሌላቸው አርክቴክቸር ጋር የሚስማማ	የንዑስ ጎራ ችግሮች፣ አንዳንድ የአሳሽ አለመጣጣሞች
ተመሳሳይ ጣቢያ ኩኪዎች	ኩኪዎች ከጣቢያ ውጪ ካሉ ጥያቄዎች ታግደዋል	ቀላል ውህደት፣ የአሳሽ ደረጃ ጥበቃ	ከአሮጌ አሳሾች ጋር አለመጣጣም የመነሻ መስፈርቶችን ሊጎዳ ይችላል።
የራስጌ ፍተሻዎችን ይጠይቁ	አጣቃሹን እና የመነሻውን ራስጌ በመፈተሽ ላይ	ቀላል ማረጋገጫ፣ ምንም ተጨማሪ የአገልጋይ ጭነት የለም።	አርዕስተ ዜናዎች ሊታለሉ ይችላሉ, አስተማማኝነት ዝቅተኛ ነው

CSRF ሌላው አስፈላጊ የመከላከያ ዘዴ ኩኪዎችን ድርብ አስገባ ነው. በዚህ ዘዴ አገልጋዩ የዘፈቀደ እሴት ያመነጫል እና ለደንበኛው እንደ ኩኪ ይልካል እና በቅጹ ውስጥ በተደበቀ መስክ ውስጥ ያስቀምጠዋል. ደንበኛው ቅጹን ሲያቀርብ በኩኪው ውስጥ ያለው ዋጋ እና በቅጹ ውስጥ ያለው ዋጋ ወደ አገልጋዩ ይላካል። አገልጋዩ የጥያቄውን ህጋዊነት የሚያረጋግጠው እነዚህ ሁለቱ እሴቶች የሚዛመዱ መሆናቸውን በማጣራት ነው። ይህ ዘዴ በተለይ ሀገር ለሌላቸው መተግበሪያዎች ተስማሚ ነው እና ምንም ተጨማሪ የአገልጋይ-ጎን ክፍለ ጊዜ አስተዳደር አያስፈልገውም።

SameSite ኩኪዎች እንዲሁም CSRF በጥቃቶች ላይ ውጤታማ የመከላከያ ዘዴ ነው. የSameSite ባህሪ ኩኪዎችን ከተመሳሳይ ጣቢያ በሚመጡ ጥያቄዎች ውስጥ ብቻ መካተቱን ያረጋግጣል። በዚህ ባህሪ, ከተለየ ጣቢያ የሚመጡ ኩኪዎች CSRF ጥቃቶች በራስ-ሰር ይታገዳሉ። ሆኖም የSameSite ኩኪዎችን መጠቀም በሁሉም አሳሾች የማይደገፍ በመሆኑ ከሌሎች የመከላከያ ዘዴዎች ጋር አብሮ መጠቀም ይመከራል።

የCSRF ጥቃቶችን ለማስወገድ ጠቃሚ ምክሮች

CSRF (የጣቢያ-መስቀል ጥያቄ የውሸት) ከእነዚህ ጥቃቶች መከላከል ለድር መተግበሪያዎች ደህንነት ወሳኝ ነው። እነዚህ ጥቃቶች የተጠቃሚዎች ዕውቀት ወይም ፍቃድ ሳይኖር ያልተፈቀዱ ስራዎችን ለመስራት የተነደፉ ናቸው። ስለዚህ, ገንቢዎች እና የስርዓት አስተዳዳሪዎች በእነዚህ አይነት ጥቃቶች ላይ ውጤታማ የመከላከያ ዘዴዎችን መተግበር አለባቸው. የሚከተለው CSRF በጥቃቶች ላይ ሊወሰዱ የሚችሉ አንዳንድ መሰረታዊ ጥንቃቄዎች እና ምክሮች ቀርበዋል.

CSRF ከጥቃት ለመከላከል የተለያዩ ዘዴዎች አሉ. እነዚህ ዘዴዎች በአጠቃላይ በደንበኛው ወይም በአገልጋይ በኩል ሊተገበሩ ይችላሉ. በጣም ከተለመዱት ዘዴዎች አንዱ ነው የማመሳሰል ማስመሰያ ንድፍ (STP) በዚህ ዘዴ፣ አገልጋዩ ለእያንዳንዱ የተጠቃሚ ክፍለ ጊዜ ልዩ ማስመሰያ ያመነጫል፣ ይህም ለእያንዳንዱ ቅጽ ማስረከቢያ እና ተጠቃሚው ለሚፈጽመው ወሳኝ ግብይት ጥቅም ላይ ይውላል። አገልጋዩ በመጪው ጥያቄ ውስጥ ያለውን ማስመሰያ በክፍለ ጊዜው ውስጥ ካለው ማስመሰያ ጋር በማነፃፀር የጥያቄውን ትክክለኛነት ያረጋግጣል።

ከዚህም በላይ እ.ኤ.አ. ኩኪ ድርብ አስገባ ዘዴው ውጤታማ የመከላከያ ዘዴ ነው. በዚህ ዘዴ፣ አገልጋዩ የዘፈቀደ እሴትን በኩኪ ይልካል፣ እና ደንበኛ-ጎን ጃቫስክሪፕት ኮድ ይህንን እሴት በቅጽ መስክ ወይም በብጁ ራስጌ ውስጥ ያስገባል። አገልጋዩ ሁለቱም በኩኪው ውስጥ ያለው ዋጋ እና በቅጹ ወይም ራስጌው ውስጥ ያለው ዋጋ የሚዛመድ መሆኑን ያረጋግጣል። ይህ ዘዴ በተለይ ለኤፒአይዎች እና ለ AJAX ጥያቄዎች ተስማሚ ነው።

ከዚህ በታች ባለው ሠንጠረዥ ውስጥ. CSRF በጥቃቶች ላይ ጥቅም ላይ የሚውሉ አንዳንድ መሰረታዊ የመከላከያ ዘዴዎች እና ባህሪያቸውን ንፅፅር ተካተዋል.

የመከላከያ ዘዴ	ማብራሪያ	ጥቅሞች	ጉዳቶች
የማስመሰያ ንድፍ (STP) በማመሳሰል ላይ	ለእያንዳንዱ ክፍለ ጊዜ ልዩ ማስመሰያ ተፈጥሯል እና ተረጋግጧል።	ከፍተኛ ደህንነት, በስፋት ጥቅም ላይ የዋለ.	ማስመሰያ አስተዳደር ያስፈልገዋል፣ ውስብስብ ሊሆን ይችላል።
ኩኪ ድርብ-ላክ	በኩኪ እና ቅጽ/ራስጌ ውስጥ ተመሳሳይ ዋጋ ያለው ማረጋገጫ።	ቀላል ትግበራ፣ ለኤፒአይዎች ተስማሚ።	ጃቫ ስክሪፕት ያስፈልገዋል፣ እንደ ኩኪ ደህንነት ይወሰናል።
ተመሳሳይ ጣቢያ ኩኪዎች	ኩኪዎች ከተመሳሳይ የጣቢያ ጥያቄዎች ጋር ብቻ እንደሚላኩ ያረጋግጣል።	ለማመልከት ቀላል, ተጨማሪ የደህንነት ንብርብር ያቀርባል.	በአሮጌ አሳሾች ላይደገፍ ይችላል እና ሙሉ ጥበቃን አይሰጥም።
የማጣቀሻ ቼክ	ጥያቄው የመጣበትን ምንጭ ማረጋገጥ.	ቀላል እና ፈጣን መቆጣጠሪያ መሳሪያ.	የማጣቀሚያው ርዕስ ሊስተካከል ይችላል እና አስተማማኝነቱ ዝቅተኛ ነው.

ከታች፣ CSRF ከጥቃቶች የበለጠ ተጨባጭ እና ተግባራዊ የመከላከያ ምክሮች አሉ፡

1. ሲንክሮናይዘር ማስመሰያ (STP) ተጠቀም፦ ለእያንዳንዱ ተጠቃሚ ክፍለ ጊዜ ልዩ CSRF ቶከኖችን ያመንጩ እና በቅጽ ማቅረቢያዎች ላይ ያረጋግጡ።
2. ድርብ-መላክ የኩኪ ዘዴን ተግብር፡- በተለይ በኤፒአይ እና በAJAX ጥያቄዎች በኩኪው እና በቅጽ መስኮች ውስጥ ያሉት እሴቶች እንደሚዛመዱ ያረጋግጡ።
3. የSameSite ኩኪ ባህሪን ተጠቀም፡- ኩኪዎች ከተመሳሳይ ጣቢያ ጥያቄዎች ጋር ብቻ እንደሚላኩ በማረጋገጥ ተጨማሪ የደህንነት ሽፋን ይፍጠሩ። ጥብቅ ወይም ላክስ አማራጮችዎን ይገምግሙ.
4. የኤችቲቲፒ ራስጌዎችን በትክክል ያዘጋጁ፡ ኤክስ-ፍሬም-አማራጮች በርዕሱ ጠቅ ከማድረግ ጥቃቶች ይጠብቁ።
5. የማጣቀሚያውን ርዕስ ያረጋግጡ፡- ጥያቄው የመጣበትን ምንጭ ለማረጋገጥ ዋቢ ርዕሱን ያረጋግጡ, ነገር ግን ይህ ዘዴ ብቻውን በቂ እንዳልሆነ ያስታውሱ.
6. የተጠቃሚ መግቢያዎችን ያረጋግጡ እና ያጽዱ፡ የተጠቃሚ ግቤትን ሁልጊዜ ያረጋግጡ እና ያፅዱ። ይህ XSS እንደ ሌሎች የጥቃት ዓይነቶችም ጥበቃን ይሰጣል።
7. መደበኛ የደህንነት ሙከራዎችን ያካሂዱ; በመደበኛነት ደህንነት የእርስዎን የድር መተግበሪያ ይፈትሹ እና ተጋላጭነቶችን ይለዩ እና ይፍቱ።

ከእነዚህ እርምጃዎች በተጨማሪ የእርስዎ ተጠቃሚዎች CSRF ሊደርሱ ስለሚችሉ ጥቃቶች ግንዛቤን ማሳደግ ወሳኝ ነው። ተጠቃሚዎች ከማያውቋቸው ወይም ከማያምኑባቸው ምንጮች የሚመጡትን አገናኞች ጠቅ ከማድረግ እንዲቆጠቡ እና ሁልጊዜ ደህንነታቸው የተጠበቀ የድር መተግበሪያዎችን እንዲመርጡ ሊመከሩ ይገባል። ደኅንነት የሚገኘው በባለ ብዙ ሽፋን ዘዴ መሆኑን ማስታወስ ጠቃሚ ነው፣ እና እያንዳንዱ መለኪያ አጠቃላይ የደህንነት አቋምን ያጠናክራል።

በCSRF ጥቃቶች ላይ ያለው ወቅታዊ ስታቲስቲክስ

CSRF የጣቢያ ተሻጋሪ ጥያቄ የውሸት (ሲአርኤፍ) ጥቃቶች በድር መተግበሪያዎች ላይ የማያቋርጥ ስጋት ማድረጋቸውን ቀጥለዋል። አሁን ያለው ስታቲስቲክስ የእነዚህን ጥቃቶች መስፋፋት እና እምቅ ተጽዕኖ ያሳያል። ይህ በተለይ ከፍተኛ የተጠቃሚ መስተጋብር ላላቸው እንደ ኢ-ኮሜርስ ጣቢያዎች፣ የባንክ መተግበሪያዎች እና የማህበራዊ ሚዲያ መድረኮች ያሉ እውነት ነው። CSRF ለጥቃቶች ማራኪ ኢላማዎች ናቸው. ስለዚህ ለገንቢዎች እና ለደህንነት ባለሙያዎች የዚህ አይነት ጥቃትን ማወቅ እና ውጤታማ የመከላከያ ዘዴዎችን ማዳበር በጣም አስፈላጊ ነው.

የአሁኑ ስታቲስቲክስ

• 2023 yılında web uygulama saldırılarının %15’ini CSRF ተፈጠረ።
• ለኢ-ኮሜርስ ጣቢያዎች CSRF saldırılarında %20 artış gözlemlendi.
• በፋይናንስ ዘርፍ CSRF kaynaklı veri ihlalleri %12 arttı.
• በሞባይል መተግበሪያዎች ውስጥ CSRF zafiyetleri son bir yılda %18 yükseldi.
• CSRF saldırılarının ortalama maliyeti bir önceki yıla göre %10 arttı.
• በጣም በተደጋጋሚ ኢላማ የተደረገባቸው ዘርፎች ፋይናንስ፣ችርቻሮ እና የጤና እንክብካቤን ያካትታሉ።

ከታች ያለው ሰንጠረዥ የተለያዩ ዘርፎችን ያሳያል CSRF የጥቃቶችን ስርጭት እና ተጽእኖ ያጠቃልላል. ይህ መረጃ የአደጋ ግምገማዎችን ሲያካሂዱ እና የደህንነት እርምጃዎችን ሲተገበሩ ግምት ውስጥ የሚገባ ጠቃሚ መረጃ ይሰጣል።

ዘርፍ	የጥቃት መጠን (%)	አማካይ ወጪ (ቲኤል)	የውሂብ ጥሰቶች ብዛት
ፋይናንስ	25	500,000	15
ኢ-ኮሜርስ	20	350,000	12
ጤና	15	250,000	8
ማህበራዊ ሚዲያ	10	150,000	5

CSRF የማልዌር ጥቃቶችን ተፅእኖ ለማቃለል ገንቢዎች እና የስርዓት አስተዳዳሪዎች በመደበኛነት የደህንነት ሙከራዎችን ማካሄድ፣ ወቅታዊ የደህንነት መጠገኛዎችን መተግበር እና የተጠቃሚዎችን እንደዚህ አይነት ጥቃቶች ግንዛቤ ማሳደግ አለባቸው። የማመሳሰል ቶከኖች እና ኩኪዎችን ድርብ አስገባ እንደ የመከላከያ ዘዴዎች ትክክለኛ አተገባበር; CSRF የጥቃቶችዎን ስኬት መጠን በእጅጉ ሊቀንስ ይችላል።

በደህንነት ተመራማሪዎች የታተሙ ዘገባዎች፣ CSRF ጥቃቶች በየጊዜው እየተሻሻሉ እና አዳዲስ ልዩነቶች እየታዩ ነው። ስለዚህ የደህንነት ስልቶች በየጊዜው መዘመን እና መሻሻል አለባቸው። የደህንነት ድክመቶችን ለመለየት እና ለማስተካከል ንቁ አቀራረብን መቀበል ፣ CSRF ጥቃቶችን ሊያስከትል የሚችለውን ተፅእኖ ይቀንሳል.

የCSRF እና የድርጊት መርሃ ግብር አስፈላጊነት

CSRF (የጣቢያ-መስቀል ጥያቄ የውሸት) ጥቃቶች በድር መተግበሪያዎች ደህንነት ላይ ከባድ ስጋት ይፈጥራሉ። እነዚህ ጥቃቶች ስልጣን ያለው ተጠቃሚ ባለማወቅ ተንኮል አዘል ድርጊቶችን እንዲፈጽም ሊያደርጉ ይችላሉ። ለምሳሌ፣ አጥቂ የተጠቃሚውን ይለፍ ቃል ሊቀይር፣ ገንዘቦችን ማስተላለፍ ወይም ሚስጥራዊ ውሂብን ሊጠቀም ይችላል። ስለዚህም CSRF የሳይበር ጥቃቶችን ለመከላከል ንቁ የሆነ አካሄድ መውሰድ እና ውጤታማ የድርጊት መርሃ ግብር መፍጠር ወሳኝ ነው።

የአደጋ ደረጃ	ሊሆኑ የሚችሉ ውጤቶች	የመከላከያ እርምጃዎች
ከፍተኛ	የተጠቃሚ መለያ ስምምነት፣ የውሂብ ጥሰቶች፣ የገንዘብ ኪሳራዎች	CSRF ቶከኖች፣ SameSite ኩኪዎች፣ ባለ ሁለት ደረጃ ማረጋገጫ
መካከለኛ	ያልተፈለገ የመገለጫ ለውጦች፣ ያልተፈቀደ ይዘት ማተም	የማጣቀሻ ቁጥጥር፣ የተጠቃሚ መስተጋብር የሚያስፈልጋቸው ክዋኔዎች
ዝቅተኛ	አነስተኛ የውሂብ ማጭበርበሮች፣ የሚረብሹ ድርጊቶች	ቀላል የማረጋገጫ ዘዴዎች, ተመን መገደብ
እርግጠኛ ያልሆነ	በስርዓተ-ፆታ ጉድለቶች ምክንያት ተፅዕኖዎች, ያልተጠበቁ ውጤቶች	ተከታታይ የደህንነት ፍተሻዎች፣ የኮድ ግምገማዎች

የድርጊት መርሃ ግብር, የእርስዎ የድር መተግበሪያ CSRF በጥቃቶች ላይ የመቋቋም አቅምን ለመጨመር መወሰድ ያለባቸውን እርምጃዎች ያካትታል. ይህ እቅድ እንደ ስጋት ግምገማ፣ የደህንነት እርምጃዎች ትግበራ፣ የፈተና ሂደቶች እና ተከታታይ ክትትል ያሉ የተለያዩ ደረጃዎችን ይሸፍናል። መሆኑን መዘንጋት የለበትም። CSRFየሚወሰዱ እርምጃዎች በቴክኒካል መፍትሄዎች ብቻ የተገደቡ ሳይሆን የተጠቃሚውን የግንዛቤ ማስጨበጫ ስልጠና ማካተት አለባቸው።

የድርጊት መርሃ ግብር

1. የአደጋ ግምገማ፡- በድር መተግበሪያዎ ውስጥ ያለው አቅም CSRF ተጋላጭነቶችን መለየት።
2. CSRF የማስመሰያ ማመልከቻ፡- ለሁሉም ወሳኝ ቅጾች እና የኤፒአይ ጥያቄዎች ልዩ CSRF ምልክቶችን ተጠቀም.
3. የተመሳሳይ ጣቢያ ኩኪዎች፡- ኩኪዎችዎን በጣቢያ-አቋራጭ ጥያቄዎች ውስጥ እንዳይላኩ ለመከላከል በSameSite ባህሪ ይጠብቁ።
4. የማጣቀሻ ማረጋገጫ፡- የገቢ ጥያቄዎችን ምንጭ ያረጋግጡ እና አጠራጣሪ ጥያቄዎችን ያግዱ።
5. የተጠቃሚ ግንዛቤ፡- ተጠቃሚዎችዎን ስለ ማስገር እና ሌሎች የማህበራዊ ምህንድስና ጥቃቶች ያስተምሩ።
6. የደህንነት ሙከራዎች፡- በመደበኛነት የመግባት ሙከራዎችን እና የደህንነት ፍተሻዎችን በማካሄድ ተጋላጭነቶችን ይለዩ።
7. ቀጣይነት ያለው ክትትል; በመተግበሪያዎ ውስጥ ያልተለመዱ እንቅስቃሴዎችን መከታተል CSRF ጥቃቶችን መለየት.

ስኬታማ CSRF የመከላከያ ስትራቴጂ የማያቋርጥ ንቃት እና ማሻሻያ ይፈልጋል። የድር ቴክኖሎጂዎች እና የጥቃት ዘዴዎች በየጊዜው እየተለወጡ ስለሆኑ የደህንነት እርምጃዎችዎን በመደበኛነት መገምገም እና ማዘመን አለብዎት። እንዲሁም የእርስዎ የልማት ቡድን CSRF እና ሌሎች የድር ተጋላጭነቶች የመተግበሪያዎን ደህንነት ለማረጋገጥ ከሚወስዷቸው በጣም አስፈላጊ እርምጃዎች ውስጥ አንዱ ነው። ለአስተማማኝ የድር አካባቢ፣ CSRFጥንቃቄ ማድረግ እና መከላከል አስፈላጊ ነው.

CSRFን ለመቋቋም በጣም ውጤታማ መንገዶች

CSRF የድረ-ገጽ ተሻጋሪ ጥያቄ ፎርጀሪ (ሲአርኤፍ) ጥቃቶች ለድር መተግበሪያዎች ደህንነት ከፍተኛ ስጋት ናቸው። እነዚህ ጥቃቶች ተጠቃሚዎች ሳያውቁ ወይም ያለፈቃዳቸው ያልተፈቀዱ ድርጊቶችን እንዲፈጽሙ ያስችላቸዋል። CSRF ጥቃቶችን ለመቋቋም በርካታ ውጤታማ ዘዴዎች አሉ, እና የእነዚህ ዘዴዎች ትክክለኛ አተገባበር የድር መተግበሪያዎችን ደህንነት በእጅጉ ይጨምራል. በዚህ ክፍል እ.ኤ.አ. CSRF በጥቃቶች ላይ ሊወሰዱ የሚችሉትን በጣም ውጤታማ ዘዴዎችን እና ስልቶችን እንመረምራለን.

ዘዴ	ማብራሪያ	የመተግበር አስቸጋሪነት
የተመሳሰለ ማስመሰያ ንድፍ (STP)	ለእያንዳንዱ ተጠቃሚ ክፍለ ጊዜ ልዩ ማስመሰያ ይፈጠራል እና ይህ ማስመሰያ በእያንዳንዱ ቅፅ ላይ ምልክት ይደረግበታል።	መካከለኛ
ኩኪ ድርብ አስገባ	በኩኪ እና በቅጽ መስክ ውስጥ ተመሳሳይ እሴት ይጠቀማል; አገልጋዩ እሴቶቹ እንደሚዛመዱ ያረጋግጣል።	ቀላል
የSameSite የኩኪ ባህሪ	ኩኪዎች የሚላኩት ከተመሳሳይ ጣቢያ ጥያቄዎች ጋር ብቻ መሆኑን ያረጋግጣል፣ ስለዚህ ምንም ኩኪዎች ከመድረክ ጥያቄዎች ጋር አይላኩም።	ቀላል
የማጣቀሻ ራስጌ መቆጣጠሪያ	ካልተፈቀደላቸው ምንጮች የሚቀርቡ ጥያቄዎችን የሚያግድ ጥያቄው የመጣበትን ምንጭ በማጣራት ነው።	መካከለኛ

CSRF ከእነዚህ ጥቃቶች ለመከላከል በጣም ከተለመዱት እና ውጤታማ ከሆኑ ዘዴዎች አንዱ የተመሳሰለ ቶከን ጥለት (STP) መጠቀም ነው። STP ለእያንዳንዱ ተጠቃሚ ክፍለ ጊዜ ልዩ ማስመሰያ ማመንጨት እና በእያንዳንዱ ቅፅ ላይ ማረጋገጥን ያካትታል። ይህ ማስመሰያ በተለምዶ በድብቅ ቅጽ መስክ ወይም በኤችቲቲፒ ራስጌ ተልኳል እና የተረጋገጠው ከአገልጋይ ወገን ነው። ይህ አጥቂዎች ያልተፈቀዱ ጥያቄዎችን ያለ ትክክለኛ ማስመሰያ እንዳይልኩ ይከለክላል።

ውጤታማ ዘዴዎች

• የተመሳሰለ Token Pattern (STP) በመተግበር ላይ
• ድርብ አስገባ ኩኪ ዘዴን በመጠቀም
• የSameSite ኩኪ ባህሪን ማንቃት
• የጥያቄዎች ምንጭን መፈተሽ (ማጣቀሻ ራስጌ)
• የተጠቃሚውን ግቤት እና ውፅዓት በጥንቃቄ ያረጋግጡ
• ተጨማሪ የደህንነት ንብርብሮችን ማከል (ለምሳሌ CAPTCHA)

ሌላው ውጤታማ ዘዴ ድርብ አስገባ ኩኪ ዘዴ ነው። በዚህ ቴክኒክ፣ አገልጋዩ የዘፈቀደ እሴትን በኩኪ ያዘጋጃል እና በቅጽ መስክ ላይ ተመሳሳይ እሴት ይጠቀማል። ቅጹ ሲገባ አገልጋዩ በኩኪው ውስጥ ያሉት እሴቶች እና የቅጹ መስኩ የሚዛመዱ መሆናቸውን ያረጋግጣል። እሴቶቹ የማይዛመዱ ከሆነ ጥያቄው ውድቅ ተደርጓል። ይህ ዘዴ CSRF የኩኪ ጥቃቶችን ለመከላከል በጣም ውጤታማ ነው ምክንያቱም አጥቂዎች የኩኪ እሴትን ማንበብ ወይም መለወጥ አይችሉም.

የSameSite ኩኪ ባህሪ CSRF ለጥቃቶች አስፈላጊ የመከላከያ ዘዴ ነው. የSameSite ባህሪ ኩኪዎች የሚላኩት ከተመሳሳይ ጣቢያ ጥያቄዎች ጋር ብቻ መሆኑን ያረጋግጣል። ይህ ኩኪዎችን በድረ-ገጽ አቋራጭ ጥያቄዎች ውስጥ በራስ-ሰር እንዳይላኩ ይከላከላል፣ በዚህም ይከላከላል CSRF ይህ ባህሪ የተሳካ ጥቃቶችን እድል ይቀንሳል. በዘመናዊ የድር አሳሾች ውስጥ ይህን ባህሪ ማንቃት ቀላል ነው እና የድር መተግበሪያዎችን ደህንነት ለማሻሻል ጠቃሚ እርምጃ ነው።

በተደጋጋሚ የሚጠየቁ ጥያቄዎች

የCSRF ጥቃት በሚደርስበት ጊዜ የእኔ የተጠቃሚ መለያ ካልተበላሸ ምን እርምጃዎች ሊወሰዱ ይችላሉ?

የCSRF ጥቃቶች ዓላማቸው ምስክርነታቸውን ከመስረቅ ይልቅ ተጠቃሚውን ወክሎ በገቡበት ጊዜ ያልተፈቀዱ ድርጊቶችን ለመፈጸም ነው። ለምሳሌ፣ የይለፍ ቃላቸውን ለመቀየር፣ የኢሜይል አድራሻቸውን ለማዘመን፣ ገንዘባቸውን ለማስተላለፍ ወይም በፎረሞች/ማህበራዊ ሚዲያ ላይ ለመለጠፍ ሊሞክሩ ይችላሉ። አጥቂው ተጠቃሚው ያለእነሱ እውቀት እንዲፈጽም የተፈቀደለትን ተግባራትን ይፈጽማል።

የCSRF ጥቃቶች ስኬታማ እንዲሆኑ ተጠቃሚው ምን ሁኔታዎችን ማሟላት አለበት?

የCSRF ጥቃት ስኬታማ እንዲሆን ተጠቃሚው ወደ ኢላማው ድረ-ገጽ መግባት አለበት፣ እና አጥቂው ተጠቃሚው ከገባበት ጣቢያ ጋር የሚመሳሰል ጥያቄ መላክ አለበት።በመሰረቱ ተጠቃሚው በዒላማው ድረ-ገጽ ላይ መረጋገጥ አለበት፣ እና አጥቂው ያንን ማረጋገጫ ማረጋገጥ መቻል አለበት።

የ CSRF ቶከኖች በትክክል እንዴት ይሰራሉ እና ለምን ውጤታማ የመከላከያ ዘዴ ናቸው?

CSRF ቶከኖች ለእያንዳንዱ ተጠቃሚ ክፍለ ጊዜ ልዩ እና ለመገመት አስቸጋሪ የሆነ እሴት ያመነጫሉ። ይህ ማስመሰያ በአገልጋዩ የተፈጠረ እና ለደንበኛው በቅጽ ወይም በአገናኝ ይላካል። ደንበኛው ለአገልጋዩ ጥያቄ ሲያቀርብ, ይህንን ማስመሰያ ያካትታል. አገልጋዩ የመጪውን ጥያቄ ማስመሰያ ከተጠበቀው ማስመሰያ ጋር ያወዳድራል እና ምንም ተዛማጅ ከሌለ ጥያቄውን ውድቅ ያደርጋል። ይህ አንድ አጥቂ ትክክለኛ ቶከን ስለሌለው በራሱ የመነጨ ጥያቄ ተጠቃሚውን ለማስመሰል አስቸጋሪ ያደርገዋል።

የSameSite ኩኪዎች ከCSRF ጥቃቶች እንዴት ይከላከላሉ እና ምን ገደቦች አሏቸው?

የSameSite ኩኪዎች ኩኪ ከተመሳሳይ ጣቢያ በመጡ ጥያቄዎች ብቻ እንዲላክ በመፍቀድ የCSRF ጥቃቶችን ይቀንሳል። ሶስት የተለያዩ እሴቶች አሉ፡ ጥብቅ (ኩኪው የሚላከው በአንድ ጣቢያ ውስጥ ካሉ ጥያቄዎች ጋር ብቻ ነው)፣ ላክስ (ኩኪው የሚላከው ከጣቢያው ውጪ እና ደህንነቱ የተጠበቀ (ኤችቲቲፒኤስ) ከጣቢያ ውጭ ጥያቄዎች) እና ምንም (ኩኪው ከእያንዳንዱ ጥያቄ ጋር ነው የተላከው)። 'Strict' በጣም ጠንካራ ጥበቃን ሲሰጥ፣ በአንዳንድ ሁኔታዎች የተጠቃሚውን ልምድ ሊጎዳ ይችላል። 'ምንም' ከ'Secure' ጋር ተያይዞ ጥቅም ላይ መዋል አለበት እና በጣም ደካማውን ጥበቃ ያቀርባል። ገደቦች በአንዳንድ የቆዩ አሳሾች አለመደገፍን ያካትታሉ፣ እና የተለያዩ የSameSite ዋጋዎች እንደ መተግበሪያ መስፈርቶች መመረጥ ሊኖርባቸው ይችላል።

በነባር የድር መተግበሪያዎች ውስጥ ገንቢዎች የCSRF መከላከያዎችን እንዴት መተግበር ወይም ማሻሻል ይችላሉ?

ገንቢዎች በመጀመሪያ የCSRF ቶከኖችን መተግበር እና በማንኛውም መልኩ እና የAJAX ጥያቄ ማካተት አለባቸው። እንዲሁም SameSite ኩኪዎችን በአግባቡ ማዋቀር አለባቸው ('Strict' or 'Lax' በአጠቃላይ ይመከራል)። በተጨማሪም፣ እንደ ድርብ ማስረከቢያ ኩኪዎች ያሉ ተጨማሪ የመከላከያ ዘዴዎችን መጠቀም ይቻላል። መደበኛ የደህንነት ሙከራ እና የዌብ አፕሊኬሽን ፋየርዎል (WAF) መጠቀም ከCSRF ጥቃቶች ሊከላከሉ ይችላሉ።

የCSRF ጥቃት ሲገኝ መወሰድ ያለባቸው አፋጣኝ እርምጃዎች ምንድ ናቸው?

የCSRF ጥቃት ሲገኝ በመጀመሪያ የተጎዱትን ተጠቃሚዎች እና ሊጎዱ የሚችሉ ሂደቶችን መለየት አስፈላጊ ነው። ተጠቃሚዎችን ማሳወቅ እና የይለፍ ቃሎቻቸውን እንደገና እንዲያስጀምሩ መምከር ጥሩ ተግባር ነው። የስርዓት ተጋላጭነቶችን ማስተካከል እና የጥቃቱን ቬክተር መዝጋት ወሳኝ ነው። በተጨማሪም የጥቃቱን ምንጭ ለመተንተን እና የወደፊት ጥቃቶችን ለመከላከል የምዝግብ ማስታወሻዎችን መተንተን አስፈላጊ ነው.

ለነጠላ-ገጽ አፕሊኬሽኖች (SPA) እና ለባህላዊ ባለብዙ ገጽ አፕሊኬሽኖች (MPA) በCSRF ላይ የመከላከል ስልቶች ይለያያሉ? ከሆነ ለምን?

አዎ፣ የCSRF የመከላከያ ስትራቴጂዎች ለSPAs እና MPAዎች ይለያያሉ። በኤምፒኤዎች ውስጥ፣ የCSRF ቶከኖች ከአገልጋይ ጎን ይመነጫሉ እና ወደ ቅጾች ይታከላሉ። SPAዎች በተለምዶ የኤፒአይ ጥሪዎችን ስለሚያደርጉ፣ ቶከኖቹ ወደ HTTP ራስጌዎች ይታከላሉ ወይም ድርብ አስገባ ኩኪዎች ጥቅም ላይ ይውላሉ። በኤስፒኤዎች ውስጥ ተጨማሪ የደንበኛ-ጎን ጃቫስክሪፕት ኮድ መኖሩ የጥቃቱን ገጽታ ሊጨምር ይችላል፣ ስለዚህ ጥንቃቄ ያስፈልጋል። በተጨማሪም፣ የCORS (የመስቀሉ ምንጭ ሀብት መጋራት) ውቅር ለSPAዎችም አስፈላጊ ነው።

በድር መተግበሪያ ደህንነት አውድ ውስጥ፣ CSRF ከሌሎች የተለመዱ የጥቃቶች አይነቶች (XSS፣ SQL Injection፣ ወዘተ) ጋር እንዴት ይዛመዳል? የመከላከያ ስልቶችን እንዴት ማቀናጀት ይቻላል?

CSRF እንደ XSS (መስቀል-ሳይት ስክሪፕት) እና SQL መርፌ ካሉ ሌሎች የተለመዱ የጥቃት ዓይነቶች የተለየ ዓላማን ያገለግላል፣ ነገር ግን ብዙ ጊዜ እርስ በርስ በጥምረት ጥቅም ላይ ይውላሉ። ለምሳሌ፣ የCSRF ጥቃት በXSS ጥቃት ሊነሳ ይችላል። ስለዚህ፣ የተነባበረ የደህንነት አካሄድ መከተል አስፈላጊ ነው። እንደ የግቤት መረጃን ማፅዳት እና የውጤት መረጃን በXSS ላይ ኢንኮዲንግ ማድረግ፣ በSQL Injection ላይ መጠይቆችን በመጠቀም እና የCSRF ቶከኖችን በCSRF ላይ መተግበር ያሉ የተለያዩ የመከላከያ ዘዴዎችን በአንድ ላይ መጠቀም አለባቸው። ተጋላጭነትን በየጊዜው መመርመር እና የደህንነት ግንዛቤን ማሳደግ የተቀናጀ የጸጥታ ስትራቴጂ አካል ነው።

ተጨማሪ መረጃ፡- OWASP ከፍተኛ አስር