WordPress GO சேவையில் 1 வருட இலவச டொமைன் வாய்ப்பு
இந்த வலைப்பதிவு இடுகை, வலை பாதுகாப்பின் ஒரு முக்கிய அம்சமான CSRF (குறுக்கு தள கோரிக்கை மோசடி) தாக்குதல்களையும், அவற்றிலிருந்து பாதுகாக்கப் பயன்படுத்தப்படும் நுட்பங்களையும் ஆராய்கிறது. இது CSRF (குறுக்கு தள கோரிக்கை மோசடி) என்றால் என்ன, தாக்குதல்கள் எவ்வாறு நிகழ்கின்றன, அவை எதற்கு வழிவகுக்கும் என்பதை விளக்குகிறது. இது அத்தகைய தாக்குதல்களுக்கு எதிரான முன்னெச்சரிக்கைகள் மற்றும் கிடைக்கக்கூடிய தற்காப்பு கருவிகள் மற்றும் முறைகளிலும் கவனம் செலுத்துகிறது. இந்த இடுகை CSRF (குறுக்கு தள கோரிக்கை மோசடி) தாக்குதல்களுக்கு எதிராக பாதுகாப்பதற்கான நடைமுறை உதவிக்குறிப்புகளை வழங்குகிறது மற்றும் தற்போதைய புள்ளிவிவரங்களை மேற்கோள் காட்டி தலைப்பின் முக்கியத்துவத்தை எடுத்துக்காட்டுகிறது. இறுதியில், வாசகர்களுக்கு CSRF (குறுக்கு தள கோரிக்கை மோசடி) ஐ எதிர்த்துப் போராடுவதற்கான மிகவும் பயனுள்ள வழிகள் மற்றும் பரிந்துரைக்கப்பட்ட செயல் திட்டங்கள் உட்பட ஒரு விரிவான வழிகாட்டி வழங்கப்படுகிறது.
CSRF (குறுக்கு தள கோரிக்கை மோசடி) என்றால் என்ன?
CSRF (குறுக்கு-தள கோரிக்கை மோசடி)பாதிப்பு என்பது ஒரு வலை பாதிப்பு ஆகும், இது ஒரு தீங்கிழைக்கும் வலைத்தளம் பயனர் தனது உலாவியில் உள்நுழைந்திருக்கும் போது மற்றொரு தளத்தில் அங்கீகரிக்கப்படாத செயல்களைச் செய்ய அனுமதிக்கிறது. பாதிக்கப்பட்டவரின் அடையாளமாக அங்கீகரிக்கப்படாத கோரிக்கைகளை அனுப்புவதன் மூலம், தாக்குபவர் பயனரின் அறிவு அல்லது ஒப்புதல் இல்லாமல் செயல்களைச் செய்யலாம். எடுத்துக்காட்டாக, அவர்கள் பாதிக்கப்பட்டவரின் கடவுச்சொல்லை மாற்றலாம், நிதியை மாற்றலாம் அல்லது அவர்களின் மின்னஞ்சல் முகவரியை மாற்றலாம்.
CSRF தாக்குதல்கள் பொதுவாக சமூக பொறியியல் மூலம் மேற்கொள்ளப்படுகின்றன. தாக்குபவர் பாதிக்கப்பட்டவரை ஒரு தீங்கிழைக்கும் இணைப்பைக் கிளிக் செய்யவோ அல்லது தீங்கிழைக்கும் வலைத்தளத்தைப் பார்வையிடவோ சமாதானப்படுத்துகிறார். இந்த வலைத்தளம் பாதிக்கப்பட்டவர் தனது உலாவியில் உள்நுழைந்துள்ள இலக்கு வலைத்தளத்திற்கு தானாகவே கோரிக்கைகளை அனுப்புகிறது. உலாவி தானாகவே இந்த கோரிக்கைகளை இலக்கு தளத்திற்கு அனுப்புகிறது, பின்னர் கோரிக்கை பாதிக்கப்பட்டவரிடமிருந்து வந்ததாகக் கருதுகிறது.
| அம்சம் | விளக்கம் | தடுப்பு முறைகள் |
|---|---|---|
| வரையறை | பயனர் அங்கீகாரம் இல்லாமல் கோரிக்கைகளை அனுப்புதல் | CSRF டோக்கன்கள், SameSite குக்கீகள் |
| நோக்கம் | உள்நுழைந்த பயனர்களை இலக்காகக் கொண்டது | சரிபார்ப்பு வழிமுறைகளை வலுப்படுத்துதல் |
| முடிவுகள் | தரவு திருட்டு, அங்கீகரிக்கப்படாத பரிவர்த்தனைகள் | உள்ளீடுகள் மற்றும் வெளியீடுகளை வடிகட்டுதல் |
| பரவல் | வலை பயன்பாடுகளில் ஒரு பொதுவான பாதிப்பு | வழக்கமான பாதுகாப்பு சோதனைகளை நடத்துதல் |
CSRF தாக்குதல்களுக்கு எதிராகப் பாதுகாக்க பல்வேறு நடவடிக்கைகள் எடுக்கப்படலாம். அவற்றில் பின்வருவன அடங்கும்: CSRF டோக்கன்கள் பயன்படுத்த, SameSite குக்கீகள் மேலும் முக்கியமான செயல்களுக்கு பயனரிடமிருந்து கூடுதல் சரிபார்ப்பு தேவைப்படுகிறது. CSRF தாக்குதல்களிலிருந்து தங்கள் பயன்பாடுகளைப் பாதுகாக்க வலை உருவாக்குநர்கள் இந்த நடவடிக்கைகளைச் செயல்படுத்த வேண்டும்.
CSRF அடிப்படைகள்
- பயனருக்குத் தெரியாமல் அங்கீகரிக்கப்படாத செயல்களைச் செய்ய CSRF அனுமதிக்கிறது.
- பாதிக்கப்பட்டவரின் அடையாளத்தைப் பயன்படுத்தி தாக்குதல் நடத்துபவர் கோரிக்கைகளை அனுப்புகிறார்.
- சமூக பொறியியல் அடிக்கடி பயன்படுத்தப்படுகிறது.
- CSRF டோக்கன்களும் SameSite குக்கீகளும் முக்கியமான பாதுகாப்பு வழிமுறைகள்.
- வலை உருவாக்குநர்கள் தங்கள் பயன்பாடுகளைப் பாதுகாக்க முன்னெச்சரிக்கை நடவடிக்கைகளை எடுக்க வேண்டும்.
- வழக்கமான பாதுகாப்பு சோதனைகள் மூலம் பாதிப்புகளைக் கண்டறிய முடியும்.
சி.எஸ்.ஆர்.எஃப்.வலை பயன்பாடுகளுக்கு கடுமையான அச்சுறுத்தலாக உள்ளது, மேலும் இதுபோன்ற தாக்குதல்களைத் தடுக்க டெவலப்பர்கள் முன்னெச்சரிக்கை நடவடிக்கைகளை எடுப்பது முக்கியம். சந்தேகத்திற்கிடமான இணைப்புகளைக் கிளிக் செய்வதைத் தவிர்ப்பதன் மூலமும் நம்பகமான வலைத்தளங்களைப் பயன்படுத்துவதன் மூலமும் பயனர்கள் தங்களைப் பாதுகாத்துக் கொள்ளலாம்.
CSRF தாக்குதல்களின் கண்ணோட்டம்
CSRF (குறுக்கு-தள கோரிக்கை மோசடி) தாக்குதல்கள் என்பது, பயனரின் உலாவியில் உள்நுழைந்துள்ள மற்றொரு வலைத்தளத்தில், பயனரின் அறிவு அல்லது ஒப்புதல் இல்லாமல் செயல்களைச் செய்ய ஒரு தீங்கிழைக்கும் வலைத்தளத்தை அனுமதிக்கிறது. இந்தத் தாக்குதல்கள் பொதுவாக பயனர் நம்பும் தளத்தின் மூலம் அங்கீகரிக்கப்படாத கட்டளைகளை அனுப்புவதன் மூலம் மேற்கொள்ளப்படுகின்றன. எடுத்துக்காட்டாக, ஒரு தாக்குபவர் வங்கி பயன்பாட்டில் பணத்தை மாற்றுவது அல்லது சமூக ஊடகக் கணக்கில் இடுகையிடுவது போன்ற செயல்களை இலக்காகக் கொள்ளலாம்.
- CSRF தாக்குதல்களின் பண்புகள்
- இது ஒரே கிளிக்கில் செய்யப்படலாம்.
- பயனர் உள்நுழைந்திருக்க வேண்டும்.
- தாக்குபவர் பயனரின் சான்றுகளை நேரடியாக அணுக முடியாது.
- இது பெரும்பாலும் சமூக பொறியியல் நுட்பங்களை உள்ளடக்கியது.
- பாதிக்கப்பட்டவரின் உலாவி மூலம் கோரிக்கைகள் அனுப்பப்படுகின்றன.
- இது இலக்கு வலை பயன்பாட்டின் அமர்வு மேலாண்மை பாதிப்புகளைப் பயன்படுத்துகிறது.
CSRF தாக்குதல்கள் குறிப்பாக வலை பயன்பாடுகளில் உள்ள பாதிப்புகளைப் பயன்படுத்துகின்றன. இந்தத் தாக்குதல்களில், பாதிக்கப்பட்டவரின் உலாவியில் செலுத்தப்படும் தீங்கிழைக்கும் இணைப்பு அல்லது ஸ்கிரிப்ட் வழியாக, தாக்குபவர் பயனர் உள்நுழைந்திருக்கும் வலைத்தளத்திற்கு கோரிக்கைகளை அனுப்புகிறார். இந்தக் கோரிக்கைகள் பயனரின் சொந்த கோரிக்கைகளாகத் தோன்றும், எனவே அவை வலை சேவையகத்தால் சட்டபூர்வமானதாகக் கருதப்படுகின்றன. இது தாக்குபவர் பயனரின் கணக்கில் அங்கீகரிக்கப்படாத மாற்றங்களைச் செய்ய அல்லது முக்கியமான தரவை அணுக அனுமதிக்கிறது.
| தாக்குதல் வகை | விளக்கம் | தடுப்பு முறைகள் |
|---|---|---|
| GET-அடிப்படையிலான CSRF | தாக்குபவர் ஒரு இணைப்பு மூலம் ஒரு கோரிக்கையை அனுப்புகிறார். | AntiForgeryToken பயன்பாடு, பரிந்துரையாளர் கட்டுப்பாடு. |
| அஞ்சல் அடிப்படையிலான CSRF | தாக்குபவர் ஒரு படிவத்தை சமர்ப்பிப்பதன் மூலம் கோரிக்கையை அனுப்புகிறார். | போலி எதிர்ப்பு டோக்கன் பயன்பாடு, CAPTCHA. |
| JSON அடிப்படையிலான CSRF | தாக்குபவர் JSON தரவுடன் ஒரு கோரிக்கையை அனுப்புகிறார். | தனிப்பயன் தலைப்புகள், CORS கொள்கைகளின் கட்டுப்பாடு. |
| ஃபிளாஷ் அடிப்படையிலான CSRF | தாக்குபவர் ஃப்ளாஷ் பயன்பாடு மூலம் கோரிக்கையை அனுப்புகிறார். | ஃபிளாஷ், பாதுகாப்பு புதுப்பிப்புகளை முடக்குதல். |
இந்தத் தாக்குதல்களைத் தடுக்க பல்வேறு பாதுகாப்பு வழிமுறைகள் உருவாக்கப்பட்டுள்ளன. மிகவும் பொதுவான முறைகளில் ஒன்று போலி எதிர்ப்பு டோக்கன் இந்த முறை ஒவ்வொரு படிவ சமர்ப்பிப்பிற்கும் ஒரு தனித்துவமான டோக்கனை உருவாக்குகிறது, கோரிக்கை ஒரு முறையான பயனரால் செய்யப்பட்டது என்பதை சரிபார்க்கிறது. மற்றொரு முறை SameSite குக்கீகள் இந்த குக்கீகள் ஒரே தளத்திற்குள் உள்ள கோரிக்கைகளுடன் மட்டுமே அனுப்பப்படுகின்றன, இதனால் குறுக்கு தள கோரிக்கைகளைத் தடுக்கிறது. மேலும், பரிந்துரைப்பவர் தலைப்பைச் சரிபார்ப்பது தாக்குதல்களைத் தடுக்கவும் உதவும்.
சி.எஸ்.ஆர்.எஃப். தாக்குதல்கள் வலை பயன்பாடுகளுக்கு கடுமையான அச்சுறுத்தலை ஏற்படுத்துகின்றன, மேலும் பயனர்கள் மற்றும் டெவலப்பர்கள் இருவரும் எச்சரிக்கையுடன் கையாள வேண்டும். வலுவான பாதுகாப்புகளை செயல்படுத்துவதும் பயனர் விழிப்புணர்வை ஏற்படுத்துவதும் இத்தகைய தாக்குதல்களின் தாக்கத்தைக் குறைப்பதற்கு மிக முக்கியம். வலை உருவாக்குநர்கள் தங்கள் பயன்பாடுகளை வடிவமைக்கும்போது பாதுகாப்புக் கொள்கைகளைக் கருத்தில் கொண்டு வழக்கமான பாதுகாப்பு சோதனைகளை நடத்த வேண்டும்.
CSRF தாக்குதல்கள் எவ்வாறு செய்யப்படுகின்றன?
CSRF (குறுக்கு-தள கோரிக்கை மோசடி) ஊடுருவல் தாக்குதல்கள் என்பது பயனரின் அறிவு அல்லது ஒப்புதல் இல்லாமல் அங்கீகரிக்கப்பட்ட பயனரின் உலாவி மூலம் கோரிக்கைகளை அனுப்பும் தீங்கிழைக்கும் வலைத்தளம் அல்லது செயலியை உள்ளடக்கியது. இந்தத் தாக்குதல்கள் பயனர் உள்நுழைந்திருக்கும் வலை பயன்பாட்டிற்குள் நிகழ்கின்றன (எடுத்துக்காட்டாக, ஒரு வங்கி தளம் அல்லது சமூக ஊடக தளம்). பயனரின் உலாவியில் தீங்கிழைக்கும் குறியீட்டை செலுத்துவதன் மூலம், தாக்குபவர் பயனருக்குத் தெரியாமல் செயல்களைச் செய்ய முடியும்.
சி.எஸ்.ஆர்.எஃப். இந்தத் தாக்குதலுக்கான மூல காரணம், HTTP கோரிக்கைகளைச் சரிபார்க்க போதுமான பாதுகாப்பு நடவடிக்கைகளை வலை பயன்பாடுகள் செயல்படுத்தத் தவறியதே ஆகும். இது தாக்குதல் நடத்துபவர்கள் கோரிக்கைகளை போலியாக உருவாக்கி அவற்றை முறையான பயனர் கோரிக்கைகளாக வழங்க அனுமதிக்கிறது. எடுத்துக்காட்டாக, ஒரு தாக்குபவர் ஒரு பயனரை தங்கள் கடவுச்சொல்லை மாற்றவோ, நிதியை மாற்றவோ அல்லது தங்கள் சுயவிவரத் தகவலைப் புதுப்பிக்கவோ கட்டாயப்படுத்தலாம். இந்த வகையான தாக்குதல்கள் தனிப்பட்ட பயனர்களுக்கும் பெரிய நிறுவனங்களுக்கும் கடுமையான விளைவுகளை ஏற்படுத்தும்.
| தாக்குதல் வகை | விளக்கம் | உதாரணமாக |
|---|---|---|
| URL அடிப்படையிலானது சி.எஸ்.ஆர்.எஃப். | தாக்குபவர் ஒரு தீங்கிழைக்கும் URL ஐ உருவாக்கி, பயனரை அதைக் கிளிக் செய்ய ஊக்குவிக்கிறார். | <a href="http://example.com/transfer?to=attacker&amount=1000">நீங்க ஒரு பரிசு வென்றிருக்கீங்க!</a> |
| படிவம் சார்ந்தது சி.எஸ்.ஆர்.எஃப். | தானாக சமர்ப்பிக்கும் படிவத்தை உருவாக்குவதன் மூலம் தாக்குபவர் பயனரை ஏமாற்றுகிறார். | <form action=http://example.com/transfer method=POST><input type=hidden name=to value=attacker><input type=hidden name=amount value=1000><input type=submit value=Gönder></form> |
| JSON அடிப்படையிலானது சி.எஸ்.ஆர்.எஃப். | API கோரிக்கைகளில் உள்ள பாதிப்புகளைப் பயன்படுத்தி இந்தத் தாக்குதல் மேற்கொள்ளப்படுகிறது. | fetch('http://example.com/api/transfer', { முறை: 'POST', உடல்: JSON.stringify({ to: 'attacker', தொகை: 1000 ) ) |
| படக் குறிச்சொல்லுடன் சி.எஸ்.ஆர்.எஃப். | தாக்குபவர் ஒரு படக் குறிச்சொல்லைப் பயன்படுத்தி ஒரு கோரிக்கையை அனுப்புகிறார். | <img src="http://example.com/transfer?to=attacker&amount=1000"> |
சி.எஸ்.ஆர்.எஃப். தாக்குதல்கள் வெற்றிகரமாக இருக்க, பயனர் இலக்கு வலைத்தளத்தில் உள்நுழைந்திருக்க வேண்டும், மேலும் தாக்குபவர் பயனரின் உலாவிக்கு தீங்கிழைக்கும் கோரிக்கையை அனுப்ப முடியும். இந்தக் கோரிக்கை பொதுவாக மின்னஞ்சல், வலைத்தளம் அல்லது மன்ற இடுகை மூலம் செய்யப்படுகிறது. பயனர் கோரிக்கையில் கிளிக் செய்யும்போது, உலாவி தானாகவே இலக்கு வலைத்தளத்திற்கு ஒரு கோரிக்கையை அனுப்புகிறது, இது பயனரின் நற்சான்றிதழ்களுடன் அனுப்பப்படும். எனவே, வலை பயன்பாடுகள் சி.எஸ்.ஆர்.எஃப். தாக்குதல்களுக்கு எதிரான பாதுகாப்பு மிகவும் முக்கியமானது.
தாக்குதல் காட்சிகள்
சி.எஸ்.ஆர்.எஃப். தாக்குதல்கள் பொதுவாக பல்வேறு சூழ்நிலைகள் மூலம் நடத்தப்படுகின்றன. மிகவும் பொதுவான சூழ்நிலைகளில் ஒன்று மின்னஞ்சல் மூலம் அனுப்பப்படும் தீங்கிழைக்கும் இணைப்பு ஆகும். பயனர் இந்த இணைப்பைக் கிளிக் செய்யும்போது, பின்னணியில் ஒரு தீங்கிழைக்கும் இணைப்பு உருவாக்கப்படும். சி.எஸ்.ஆர்.எஃப். ஒரு தீங்கிழைக்கும் தாக்குதல் தூண்டப்பட்டு, பயனருக்குத் தெரியாமல் செயல்கள் செய்யப்படுகின்றன. மற்றொரு சூழ்நிலை, நம்பகமான வலைத்தளத்தில் வைக்கப்படும் தீங்கிழைக்கும் படம் அல்லது ஜாவாஸ்கிரிப்ட் குறியீடு வழியாக தாக்குதல் ஆகும்.
தேவையான கருவிகள்
சி.எஸ்.ஆர்.எஃப். தாக்குதல்களைச் செய்ய அல்லது சோதிக்க பல்வேறு கருவிகளைப் பயன்படுத்தலாம். இந்த கருவிகளில் பர்ப் சூட், OWASP ZAP மற்றும் பல்வேறு தனிப்பயன் ஸ்கிரிப்ட்கள் அடங்கும். இந்த கருவிகள் தாக்குபவர்கள் போலி கோரிக்கைகளை உருவாக்கவும், HTTP போக்குவரத்தை பகுப்பாய்வு செய்யவும் மற்றும் பாதிப்புகளை அடையாளம் காணவும் உதவுகின்றன. பாதுகாப்பு வல்லுநர்கள் வலை பயன்பாடுகளின் பாதுகாப்பைச் சோதிக்கவும் இந்தக் கருவிகளைப் பயன்படுத்தலாம் மற்றும் சி.எஸ்.ஆர்.எஃப். இடைவெளிகளை அடையாளம் காண முடியும்.
CSRF தாக்குதல் படிகள்
- இலக்கு வலை பயன்பாட்டில் உள்ள பாதிப்புகளைக் கண்டறிதல்.
- பயனர் உள்நுழைந்திருக்கும் வலைத்தளத்தில் ஒரு தீங்கிழைக்கும் கோரிக்கை உருவாக்கப்படுகிறது.
- பயனரிடமிருந்து இந்தக் கோரிக்கையைத் தூண்டுவதற்கு சமூக பொறியியல் நுட்பங்களைப் பயன்படுத்துதல்.
- பயனரின் உலாவி, போலியான கோரிக்கையை இலக்கு வலைத்தளத்திற்கு அனுப்புகிறது.
- சேருமிட வலைத்தளம் அந்தக் கோரிக்கையை ஒரு முறையான பயனர் கோரிக்கையாகக் கருதுகிறது.
- தாக்குபவர் பயனரின் கணக்கு மூலம் அங்கீகரிக்கப்படாத செயல்களைச் செய்கிறார்.
எப்படி தடுப்பது?
சி.எஸ்.ஆர்.எஃப். தாக்குதல்களைத் தடுக்க பல்வேறு முறைகள் உள்ளன. இந்த முறைகளில் மிகவும் பொதுவானவை பின்வருமாறு: சி.எஸ்.ஆர்.எஃப். டோக்கன்கள், SameSite குக்கீகள் மற்றும் இரட்டை அனுப்பும் குக்கீகள். சி.எஸ்.ஆர்.எஃப். ஒவ்வொரு படிவம் அல்லது கோரிக்கைக்கும் ஒரு தனித்துவமான மதிப்பை உருவாக்குவதன் மூலம், டோக்கன்கள் தாக்குதல் நடத்துபவர்கள் போலி கோரிக்கைகளை உருவாக்குவதைத் தடுக்கின்றன. SameSite குக்கீகள் ஒரே தளத்தில் கோரிக்கைகளுடன் மட்டுமே குக்கீகள் அனுப்பப்படுவதை உறுதி செய்கின்றன, சி.எஸ்.ஆர்.எஃப். மறுபுறம், இரட்டைச் சமர்ப்பிப்பு குக்கீகள், குக்கீ மற்றும் படிவப் புலம் இரண்டிலும் ஒரே மதிப்பை அனுப்பக் கோருவதன் மூலம் தாக்குதல் நடத்துபவர்கள் போலி கோரிக்கைகளை உருவாக்குவதை கடினமாக்குகின்றன.
கூடுதலாக, வலை பயன்பாடுகள் தொடர்ந்து பாதுகாப்பு சோதனைக்கு உட்படுத்தப்பட்டு பாதுகாப்பு பாதிப்புகள் நிவர்த்தி செய்யப்படுகின்றன. சி.எஸ்.ஆர்.எஃப். தாக்குதல்களைத் தடுப்பது முக்கியம். டெவலப்பர்கள், சி.எஸ்.ஆர்.எஃப். இந்தத் தாக்குதல்கள் எவ்வாறு செயல்படுகின்றன, அவற்றை எவ்வாறு தடுப்பது என்பதைப் புரிந்துகொள்வது பாதுகாப்பான பயன்பாடுகளை உருவாக்குவதற்கு மிகவும் முக்கியமானது. பயனர்கள் சந்தேகத்திற்கிடமான இணைப்புகளைத் தவிர்த்து, வலைத்தளங்கள் பாதுகாப்பாக இருப்பதை உறுதிசெய்ய வேண்டும்.
CSRF தாக்குதல்களுக்கு எதிராக எடுக்கக்கூடிய முன்னெச்சரிக்கைகள்
CSRF (குறுக்கு-தள கோரிக்கை மோசடி) தாக்குதல்களுக்கு எதிரான எதிர் நடவடிக்கைகளில் டெவலப்பர்கள் மற்றும் பயனர்கள் இருவரும் செயல்படுத்தக்கூடிய பல்வேறு உத்திகள் அடங்கும். இந்த நடவடிக்கைகள் தாக்குபவர்களிடமிருந்து வரும் தீங்கிழைக்கும் கோரிக்கைகளைத் தடுப்பதையும் பயனர் பாதுகாப்பை உறுதி செய்வதையும் நோக்கமாகக் கொண்டுள்ளன. அடிப்படையில், இந்த நடவடிக்கைகள் கோரிக்கைகளின் சட்டபூர்வமான தன்மையைச் சரிபார்ப்பதிலும் அங்கீகரிக்கப்படாத அணுகலைத் தடுப்பதிலும் கவனம் செலுத்துகின்றன.
ஒரு பயனுள்ள பாதுகாப்பு உத்திக்கு, சேவையகம் மற்றும் வாடிக்கையாளர் பக்கத்திலிருந்து எடுக்க வேண்டிய நடவடிக்கைகள் உள்ளன. சேவையக பக்கத்தில், கோரிக்கைகளின் நம்பகத்தன்மையை சரிபார்க்க. சி.எஸ்.ஆர்.எஃப். டோக்கன்களைப் பயன்படுத்துவது, SameSite குக்கீகளுடன் குக்கீகளின் வரம்பைக் கட்டுப்படுத்துவது மற்றும் இரட்டை அனுப்பும் குக்கீகளைப் பயன்படுத்துவது முக்கியம். கிளையன்ட் தரப்பில், தெரியாத அல்லது பாதுகாப்பற்ற இணைப்புகளைத் தவிர்க்க பயனர்களுக்குக் கல்வி கற்பிப்பது மற்றும் உலாவி பாதுகாப்பு அமைப்புகளை முறையாக உள்ளமைப்பது மிக முக்கியம்.
எடுக்க வேண்டிய முன்னெச்சரிக்கைகள்
- CSRF டோக்கன்களைப் பயன்படுத்துதல்: ஒவ்வொரு அமர்வுக்கும் ஒரு தனித்துவமான டோக்கனை உருவாக்குவதன் மூலம் கோரிக்கைகளின் செல்லுபடியை சரிபார்க்கவும்.
- SameSite குக்கீகள்: ஒரே தளத்தில் கோரிக்கைகளுடன் மட்டுமே குக்கீகள் அனுப்பப்படுவதை உறுதி செய்வதன் மூலம் சி.எஸ்.ஆர்.எஃப். ஆபத்தை குறைக்கவும்.
- இரட்டை சமர்ப்பிப்பு குக்கீகள்: குக்கீ மற்றும் கோரிக்கை அமைப்பு இரண்டிலும் ஒரே மதிப்பு இருப்பதை உறுதி செய்வதன் மூலம் சரிபார்ப்பை வலுப்படுத்தவும்.
- தோற்றக் கட்டுப்பாடு (தோற்றத் தலைப்பு): கோரிக்கைகளின் மூலத்தைச் சரிபார்ப்பதன் மூலம் அங்கீகரிக்கப்படாத கோரிக்கைகளைத் தடுக்கவும்.
- பயனர் பயிற்சி: சந்தேகத்திற்கிடமான இணைப்புகள் மற்றும் மின்னஞ்சல்கள் குறித்து பயனர்களுக்கு விழிப்புணர்வு ஏற்படுத்தவும்.
- பாதுகாப்பு தலைப்புகள்: X-Frame-Options மற்றும் Content-Security-Policy போன்ற பாதுகாப்பு தலைப்புகளைப் பயன்படுத்தி கூடுதல் பாதுகாப்பை வழங்கவும்.
கீழே உள்ள அட்டவணையில், சி.எஸ்.ஆர்.எஃப். தாக்குதல்களுக்கு எதிரான சாத்தியமான எதிர் நடவடிக்கைகளின் சுருக்கத்தையும், ஒவ்வொரு எதிர் நடவடிக்கையும் எந்த வகையான தாக்குதல்களுக்கு எதிராக பயனுள்ளதாக இருக்கும் என்பதையும் நீங்கள் காணலாம். இந்த அட்டவணை டெவலப்பர்கள் மற்றும் பாதுகாப்பு வல்லுநர்கள் எந்த எதிர் நடவடிக்கைகளை செயல்படுத்துவது என்பது குறித்து தகவலறிந்த முடிவுகளை எடுக்க உதவும்.
| முன்னெச்சரிக்கை | விளக்கம் | இது பயனுள்ளதாக இருக்கும் தாக்குதல்கள் |
|---|---|---|
| சி.எஸ்.ஆர்.எஃப். டோக்கன்கள் | ஒவ்வொரு கோரிக்கைக்கும் ஒரு தனித்துவமான டோக்கனை உருவாக்குவதன் மூலம் கோரிக்கையின் செல்லுபடியை இது சரிபார்க்கிறது. | அடிப்படை சி.எஸ்.ஆர்.எஃப். தாக்குதல்கள் |
| SameSite குக்கீகள் | ஒரே தளத்தில் கோரிக்கைகளுடன் மட்டுமே குக்கீகள் அனுப்பப்படுவதை உறுதி செய்கிறது. | குறுக்கு தள கோரிக்கை மோசடி |
| இரட்டை சமர்ப்பிப்பு குக்கீகள் | குக்கீ மற்றும் கோரிக்கை அமைப்பு இரண்டிலும் ஒரே மதிப்பு இருக்க வேண்டும். | டோக்கன் திருட்டு அல்லது மோசடி |
| தோற்றம் கட்டுப்பாடு | கோரிக்கைகளின் மூலத்தைச் சரிபார்ப்பதன் மூலம் அங்கீகரிக்கப்படாத கோரிக்கைகளைத் தடுக்கிறது. | டொமைன் பெயர் ஏமாற்றுதல் |
அதை மறந்துவிடக் கூடாது, சி.எஸ்.ஆர்.எஃப். தாக்குதல்களுக்கு எதிராக முழுமையான பாதுகாப்பை வழங்க இந்த நடவடிக்கைகளின் கலவையைப் பயன்படுத்த வேண்டும். அனைத்து தாக்குதல் திசையன்களிலிருந்தும் பாதுகாக்க எந்த ஒரு நடவடிக்கையும் போதுமானதாக இருக்காது. எனவே, அடுக்கு பாதுகாப்பு அணுகுமுறையைப் பின்பற்றுவதும், பாதிப்புகளைத் தொடர்ந்து ஸ்கேன் செய்வதும் முக்கியம். மேலும், பாதுகாப்புக் கொள்கைகள் மற்றும் நடைமுறைகளைத் தொடர்ந்து புதுப்பிப்பது புதிய அச்சுறுத்தல்களுக்கு எதிராகத் தயாராக இருப்பதை உறுதி செய்கிறது.
CSRF இன் விளைவுகள் மற்றும் விளைவுகள்
சி.எஸ்.ஆர்.எஃப். கிராஸ்-சைட் ரிக்வெஸ்ட் ஃபோர்ஜரி (CRF) தாக்குதல்களின் விளைவுகள் பயனர்களுக்கும் வலை பயன்பாடுகளுக்கும் கடுமையான விளைவுகளை ஏற்படுத்தக்கூடும். இந்தத் தாக்குதல்கள் அங்கீகரிக்கப்படாத பரிவர்த்தனைகளைச் செய்ய அனுமதிக்கின்றன, பயனர்களின் கணக்குகள் மற்றும் முக்கியமான தரவுகளுக்கு ஆபத்தை விளைவிக்கின்றன. தாக்குபவர்கள் பல்வேறு தீங்கிழைக்கும் செயல்களைச் செய்ய பயனர்களின் தற்செயலான செயல்களைப் பயன்படுத்திக் கொள்ளலாம். இது தனிப்பட்ட பயனர்களுக்கு மட்டுமல்ல, நிறுவனங்கள் மற்றும் நிறுவனங்களுக்கும் குறிப்பிடத்தக்க நற்பெயர் மற்றும் நிதி இழப்புகளுக்கு வழிவகுக்கும்.
CSRF தாக்குதல்களின் சாத்தியமான தாக்கத்தைப் புரிந்துகொள்வது, அவற்றுக்கு எதிராக மிகவும் பயனுள்ள பாதுகாப்புகளை உருவாக்குவதற்கு மிகவும் முக்கியமானது. தாக்குதல்கள் பயனர் கணக்கு அமைப்புகளை மாற்றுவது முதல் நிதி பரிமாற்றம் மற்றும் அங்கீகரிக்கப்படாத உள்ளடக்கத்தை வெளியிடுவது வரை இருக்கலாம். இந்த நடவடிக்கைகள் பயனர் நம்பிக்கையை சிதைப்பது மட்டுமல்லாமல், வலை பயன்பாடுகளின் நம்பகத்தன்மையையும் குறைமதிப்பிற்கு உட்படுத்துகின்றன.
CSRF இன் எதிர்மறை விளைவுகள்
- கணக்கு கையகப்படுத்தல் மற்றும் அங்கீகரிக்கப்படாத அணுகல்.
- பயனர் தரவைக் கையாளுதல் அல்லது நீக்குதல்.
- நிதி இழப்புகள் (அங்கீகரிக்கப்படாத பணப் பரிமாற்றங்கள், கொள்முதல்கள்).
- நற்பெயர் இழப்பு மற்றும் வாடிக்கையாளர் நம்பிக்கை இழப்பு.
- வலை பயன்பாட்டு வளங்களை தவறாகப் பயன்படுத்துதல்.
- சட்ட சிக்கல்கள் மற்றும் சட்டப் பொறுப்புகள்.
கீழே உள்ள அட்டவணை வெவ்வேறு சூழ்நிலைகளில் CSRF தாக்குதல்களின் சாத்தியமான விளைவுகளை இன்னும் விரிவாக ஆராய்கிறது:
| தாக்குதல் காட்சி | சாத்தியமான விளைவுகள் | பாதிக்கப்பட்ட தரப்பினர் |
|---|---|---|
| கடவுச்சொல் மாற்றம் | பயனரின் கணக்கிற்கான அணுகல் இழப்பு, தனிப்பட்ட தரவு திருட்டு. | பயனர் |
| வங்கிக் கணக்கிலிருந்து பணப் பரிமாற்றம் | அங்கீகரிக்கப்படாத பணப் பரிமாற்றங்கள், நிதி இழப்புகள். | பயனர், வங்கி |
| சமூக ஊடக பகிர்வு | தேவையற்ற அல்லது தீங்கு விளைவிக்கும் உள்ளடக்கத்தைப் பரப்புதல், நற்பெயரை இழத்தல். | பயனர், சமூக ஊடக தளம் |
| ஒரு மின் வணிக தளத்தில் ஆர்டர் செய்தல் | அங்கீகரிக்கப்படாத தயாரிப்பு ஆர்டர்கள், நிதி இழப்புகள். | பயனர், மின் வணிக தளம் |
இந்த முடிவுகள், சி.எஸ்.ஆர்.எஃப். இது இந்தத் தாக்குதல்களின் தீவிரத்தை நிரூபிக்கிறது. எனவே, வலை உருவாக்குநர்கள் மற்றும் கணினி நிர்வாகிகள் இத்தகைய தாக்குதல்களுக்கு எதிராக முன்னெச்சரிக்கை நடவடிக்கைகளை எடுத்து பயனர் விழிப்புணர்வை ஏற்படுத்துவது மிகவும் முக்கியம். பயனர் தரவைப் பாதுகாப்பதற்கும் வலை பயன்பாடுகளின் பாதுகாப்பை உறுதி செய்வதற்கும் வலுவான பாதுகாப்புகளை செயல்படுத்துவது அவசியம்.
அதை மறந்துவிடக் கூடாது, ஒரு பயனுள்ள பாதுகாப்பு உத்தி இந்த உத்தி வெறும் தொழில்நுட்ப நடவடிக்கைகளுக்கு மட்டும் மட்டுப்படுத்தப்படக்கூடாது; பயனர் விழிப்புணர்வு மற்றும் கல்வியும் இந்த உத்தியின் ஒருங்கிணைந்த பகுதியாக இருக்க வேண்டும். சந்தேகத்திற்கிடமான இணைப்புகளைக் கிளிக் செய்யாமல் இருப்பது, நம்பத்தகாத வலைத்தளங்களில் உள்நுழைவதைத் தவிர்ப்பது மற்றும் கடவுச்சொற்களை தொடர்ந்து மாற்றுவது போன்ற எளிய நடவடிக்கைகள் CSRF தாக்குதல்களைத் தடுப்பதில் குறிப்பிடத்தக்க பங்கை வகிக்கும்.
CSRF பாதுகாப்பு கருவிகள் மற்றும் முறைகள்
சி.எஸ்.ஆர்.எஃப். வலை பயன்பாடுகளைப் பாதுகாப்பதற்கு, குறுக்கு-தள கோரிக்கை மோசடி (CRF) தாக்குதல்களுக்கு எதிராக ஒரு பயனுள்ள பாதுகாப்பு உத்தியை உருவாக்குவது மிகவும் முக்கியமானது. இந்தத் தாக்குதல்கள் பயனரின் அறிவு அல்லது ஒப்புதல் இல்லாமல் அங்கீகரிக்கப்படாத செயல்களைச் செய்ய முயற்சிப்பதால், பன்முகத்தன்மை கொண்ட, அடுக்கு பாதுகாப்பு அணுகுமுறை அவசியம். இந்தப் பிரிவில், சி.எஸ்.ஆர்.எஃப். தாக்குதல்களைத் தடுக்கவும் தணிக்கவும் பயன்படுத்தக்கூடிய பல்வேறு கருவிகள் மற்றும் முறைகள் ஆராயப்படும்.
வலை பயன்பாடுகள் சி.எஸ்.ஆர்.எஃப். இந்தத் தாக்குதல்களுக்கு எதிராகப் பாதுகாக்கப் பயன்படுத்தப்படும் முதன்மையான பாதுகாப்பு வழிமுறைகளில் ஒன்று ஒத்திசைக்கப்பட்ட டோக்கன் முறை (STP) ஆகும். இந்த மாதிரியில், சேவையகத்தால் உருவாக்கப்பட்ட ஒரு தனித்துவமான டோக்கன் ஒவ்வொரு பயனர் அமர்வுக்கும் சேமிக்கப்பட்டு, ஒவ்வொரு படிவச் சமர்ப்பிப்பு அல்லது முக்கியமான பரிவர்த்தனை கோரிக்கையுடனும் அனுப்பப்படும். பெறப்பட்ட டோக்கனை அமர்வில் சேமிக்கப்பட்ட டோக்கனுடன் ஒப்பிட்டு, சேவையகம் கோரிக்கையின் சட்டபூர்வமான தன்மையைச் சரிபார்க்கிறது. இது வேறு தளத்திலிருந்து வரும் மோசடி கோரிக்கைகளைத் தடுக்கிறது.
பாதுகாப்பு கருவிகள்
- ஒத்திசைவான டோக்கன் மாதிரி (STP): ஒவ்வொரு படிவத்திற்கும் தனித்துவமான டோக்கன்களை உருவாக்குவதன் மூலம் கோரிக்கைகளின் நம்பகத்தன்மையை இது சரிபார்க்கிறது.
- இரட்டைச் சமர்ப்பிப்பு குக்கீகள்: குக்கீ மற்றும் கோரிக்கை அளவுரு இரண்டிலும் ஒரு சீரற்ற மதிப்பை அனுப்புவதன் மூலம் சி.எஸ்.ஆர்.எஃப். தாக்குதல்களைத் தடுக்கிறது.
- SameSite குக்கீகள்: ஒரே தளத்திலிருந்து வரும் கோரிக்கைகளுடன் மட்டுமே குக்கீகள் அனுப்பப்படுவதை உறுதி செய்வதன் மூலம் சி.எஸ்.ஆர்.எஃப். ஆபத்தை குறைக்கிறது.
- சி.எஸ்.ஆர்.எஃப். நூலகங்கள் மற்றும் கட்டமைப்புகள்: பல்வேறு நிரலாக்க மொழிகள் மற்றும் கட்டமைப்புகளுக்காக உருவாக்கப்பட்டது, சி.எஸ்.ஆர்.எஃப். பாதுகாப்பை வழங்கும் ஆயத்த தீர்வுகளை வழங்குகிறது.
- கோரிக்கை தலைப்பு கட்டுப்பாடுகள் (பரிந்துரைப்பவர்/தோற்றம்): கோரிக்கை வரும் மூலத்தைச் சரிபார்ப்பதன் மூலம் அங்கீகரிக்கப்படாத மூலங்களிலிருந்து வரும் கோரிக்கைகளை இது தடுக்கிறது.
கீழே உள்ள அட்டவணையில், வெவ்வேறு சி.எஸ்.ஆர்.எஃப். பாதுகாப்பு முறைகளின் பண்புகள் மற்றும் ஒப்பீடு குறித்து விரிவான தகவல்கள் வழங்கப்பட்டுள்ளன. ஒவ்வொரு சூழ்நிலைக்கும் எந்த முறை மிகவும் பொருத்தமானது என்பதை தீர்மானிக்க இந்தத் தகவல் உதவும்.
| பாதுகாப்பு முறை | விளக்கம் | நன்மைகள் | தீமைகள் |
|---|---|---|---|
| ஒத்திசைவான டோக்கன் மாதிரி (STP) | ஒவ்வொரு படிவத்திற்கும் தனித்துவமான டோக்கன்களை உருவாக்குதல் | உயர் பாதுகாப்பு, பரவலான பயன்பாடு | சர்வர் பக்க மேல்நிலை, டோக்கன் மேலாண்மை |
| இரட்டை அனுப்பு குக்கீகள் | குக்கீ மற்றும் கோரிக்கை அளவுருவில் ஒரே மதிப்பு | நிலையற்ற கட்டமைப்புகளுடன் இணக்கமான எளிய செயல்படுத்தல். | துணை டொமைன் சிக்கல்கள், சில உலாவி இணக்கமின்மைகள் |
| SameSite குக்கீகள் | தளத்திற்கு வெளியே கோரிக்கைகளிலிருந்து குக்கீகள் தடுக்கப்பட்டுள்ளன. | எளிதான ஒருங்கிணைப்பு, உலாவி நிலை பாதுகாப்பு | பழைய உலாவிகளுடன் இணக்கமின்மை கிராஸ்-ஆரிஜின் தேவைகளைப் பாதிக்கலாம். |
| தலைப்பு சரிபார்ப்புகளைக் கோருங்கள் | பரிந்துரையாளர் மற்றும் மூல தலைப்புகளைச் சரிபார்க்கிறது | எளிய சரிபார்ப்பு, கூடுதல் சர்வர் சுமை இல்லை. | தலைப்புச் செய்திகளை மாற்றியமைக்கலாம், நம்பகத்தன்மை குறைவாக உள்ளது. |
சி.எஸ்.ஆர்.எஃப். மற்றொரு முக்கியமான பாதுகாப்பு முறை இரட்டை சமர்ப்பிப்பு குக்கீகள். இந்த முறையில், சேவையகம் ஒரு சீரற்ற மதிப்பை உருவாக்கி அதை கிளையண்டிற்கு ஒரு குக்கீயாக அனுப்பி படிவத்தில் ஒரு மறைக்கப்பட்ட புலத்தில் வைக்கிறது. கிளையன்ட் படிவத்தை சமர்ப்பிக்கும் போது, குக்கீயில் உள்ள மதிப்பு மற்றும் படிவத்தில் உள்ள மதிப்பு இரண்டும் சேவையகத்திற்கு அனுப்பப்படும். இந்த இரண்டு மதிப்புகளும் பொருந்துமா என்பதைச் சரிபார்ப்பதன் மூலம் சேவையகம் கோரிக்கையின் சட்டபூர்வமான தன்மையை சரிபார்க்கிறது. இந்த முறை நிலையற்ற பயன்பாடுகளுக்கு மிகவும் பொருத்தமானது மற்றும் கூடுதல் சர்வர் பக்க அமர்வு மேலாண்மை தேவையில்லை.
SameSite குக்கீகள் மேலும் சி.எஸ்.ஆர்.எஃப். இது தாக்குதல்களுக்கு எதிரான ஒரு பயனுள்ள பாதுகாப்பு பொறிமுறையாகும். ஒரே தளத்திலிருந்து வரும் கோரிக்கைகளில் மட்டுமே குக்கீகள் சேர்க்கப்படுவதை SameSite அம்சம் உறுதி செய்கிறது. இந்த அம்சத்துடன், வேறு தளத்திலிருந்து வரும் குக்கீகள் சி.எஸ்.ஆர்.எஃப். தாக்குதல்கள் தானாகவே தடுக்கப்படும். இருப்பினும், SameSite குக்கீகளின் பயன்பாடு அனைத்து உலாவிகளாலும் ஆதரிக்கப்படாததால், அவற்றை மற்ற பாதுகாப்பு முறைகளுடன் இணைந்து பயன்படுத்த பரிந்துரைக்கப்படுகிறது.
CSRF தாக்குதல்களைத் தவிர்ப்பதற்கான உதவிக்குறிப்புகள்
CSRF (குறுக்கு-தள கோரிக்கை மோசடி) இந்தத் தாக்குதல்களிலிருந்து பாதுகாப்பது வலைப் பயன்பாடுகளின் பாதுகாப்பிற்கு மிகவும் முக்கியமானது. இந்தத் தாக்குதல்கள் பயனர்களின் அறிவு அல்லது ஒப்புதல் இல்லாமல் அங்கீகரிக்கப்படாத செயல்பாடுகளைச் செய்ய வடிவமைக்கப்பட்டுள்ளன. எனவே, டெவலப்பர்கள் மற்றும் சிஸ்டம் நிர்வாகிகள் இந்த வகையான தாக்குதல்களுக்கு எதிராக பயனுள்ள பாதுகாப்பு வழிமுறைகளைச் செயல்படுத்த வேண்டும். பின்வருபவை சி.எஸ்.ஆர்.எஃப். தாக்குதல்களுக்கு எதிராக எடுக்கக்கூடிய சில அடிப்படை முன்னெச்சரிக்கைகள் மற்றும் குறிப்புகள் வழங்கப்படுகின்றன.
சி.எஸ்.ஆர்.எஃப். தாக்குதல்களிலிருந்து பாதுகாக்க பல்வேறு முறைகள் உள்ளன. இந்த முறைகள் பொதுவாக கிளையன்ட் அல்லது சர்வர் பக்கத்தில் செயல்படுத்தப்படலாம். பொதுவாகப் பயன்படுத்தப்படும் முறைகளில் ஒன்று ஒத்திசைப்பான் டோக்கன் பேட்டர்ன் (STP) இந்த முறையில், சேவையகம் ஒவ்வொரு பயனர் அமர்வுக்கும் ஒரு தனித்துவமான டோக்கனை உருவாக்குகிறது, இது பயனர் செய்யும் ஒவ்வொரு படிவ சமர்ப்பிப்பு மற்றும் முக்கியமான பரிவர்த்தனைக்கும் பயன்படுத்தப்படுகிறது. உள்வரும் கோரிக்கையில் உள்ள டோக்கனை அமர்வில் உள்ள டோக்கனுடன் ஒப்பிட்டு கோரிக்கையின் செல்லுபடியை சேவையகம் சரிபார்க்கிறது.
மேலும், இரட்டைச் சமர்ப்பிப்பு குக்கீ இந்த முறை ஒரு பயனுள்ள பாதுகாப்பு பொறிமுறையாகும். இந்த முறையில், சேவையகம் ஒரு குக்கீ வழியாக ஒரு சீரற்ற மதிப்பை அனுப்புகிறது, மேலும் கிளையன்ட் பக்க ஜாவாஸ்கிரிப்ட் குறியீடு இந்த மதிப்பை ஒரு படிவ புலம் அல்லது தனிப்பயன் தலைப்பில் செருகுகிறது. குக்கீயில் உள்ள மதிப்பு மற்றும் படிவம் அல்லது தலைப்பில் உள்ள மதிப்பு இரண்டும் பொருந்துகிறதா என்பதை சேவையகம் சரிபார்க்கிறது. இந்த முறை APIகள் மற்றும் AJAX கோரிக்கைகளுக்கு மிகவும் பொருத்தமானது.
கீழே உள்ள அட்டவணையில், சி.எஸ்.ஆர்.எஃப். தாக்குதல்களுக்கு எதிராகப் பயன்படுத்தப்படும் சில அடிப்படை பாதுகாப்பு முறைகள் மற்றும் அவற்றின் அம்சங்களின் ஒப்பீடு ஆகியவை சேர்க்கப்பட்டுள்ளன.
| பாதுகாப்பு முறை | விளக்கம் | நன்மைகள் | தீமைகள் |
|---|---|---|---|
| டோக்கன் பேட்டர்னை ஒத்திசைத்தல் (STP) | ஒவ்வொரு அமர்வுக்கும் ஒரு தனித்துவமான டோக்கன் உருவாக்கப்பட்டு சரிபார்க்கப்படுகிறது. | உயர் பாதுகாப்பு, பரவலாகப் பயன்படுத்தப்படுகிறது. | டோக்கன் மேலாண்மை தேவை, சிக்கலானதாக இருக்கலாம். |
| இரட்டை அனுப்பு குக்கீ | குக்கீ மற்றும் படிவம்/தலைப்பில் அதே மதிப்பின் சரிபார்ப்பு. | எளிமையான செயல்படுத்தல், APIகளுக்கு ஏற்றது. | ஜாவாஸ்கிரிப்ட் தேவை, குக்கீ பாதுகாப்பைப் பொறுத்தது. |
| SameSite குக்கீகள் | குக்கீகள் ஒரே தள கோரிக்கைகளுடன் மட்டுமே அனுப்பப்படுவதை உறுதி செய்கிறது. | பயன்படுத்த எளிதானது, கூடுதல் பாதுகாப்பை வழங்குகிறது. | இது பழைய உலாவிகளில் ஆதரிக்கப்படாமல் போகலாம் மற்றும் முழுமையான பாதுகாப்பை வழங்காது. |
| பரிந்துரை சரிபார்ப்பு | கோரிக்கை வந்த மூலத்தின் சரிபார்ப்பு. | எளிய மற்றும் வேகமான கட்டுப்பாட்டு வசதி. | பரிந்துரையாளர் தலைப்பை கையாள முடியும், மேலும் அதன் நம்பகத்தன்மை குறைவாக உள்ளது. |
கீழே, சி.எஸ்.ஆர்.எஃப். தாக்குதல்களுக்கு எதிராக இன்னும் உறுதியான மற்றும் செயல்படக்கூடிய பாதுகாப்பு குறிப்புகள் உள்ளன:
- சின்க்ரோனைசர் டோக்கனை (STP) பயன்படுத்தவும்: ஒவ்வொரு பயனர் அமர்வுக்கும் தனித்துவமானது சி.எஸ்.ஆர்.எஃப். படிவ சமர்ப்பிப்புகளில் டோக்கன்களை உருவாக்கி அவற்றைச் சரிபார்க்கவும்.
- இரட்டை அனுப்பு குக்கீ முறையை செயல்படுத்தவும்: குக்கீ மற்றும் படிவ புலங்களில் உள்ள மதிப்புகள், குறிப்பாக API மற்றும் AJAX கோரிக்கைகளில் பொருந்துகின்றனவா என்பதைச் சரிபார்க்கவும்.
- SameSite குக்கீ அம்சத்தைப் பயன்படுத்தவும்: குக்கீகள் ஒரே தள கோரிக்கைகளுடன் மட்டுமே அனுப்பப்படுவதை உறுதி செய்வதன் மூலம் கூடுதல் பாதுகாப்பு அடுக்கை உருவாக்குங்கள். கண்டிப்பான அல்லது தளர்வு உங்கள் விருப்பங்களை மதிப்பிடுங்கள்.
- HTTP தலைப்புகளைச் சரியாக அமைக்கவும்: எக்ஸ்-ஃபிரேம்-விருப்பங்கள் என்ற தலைப்பைக் கொண்டு கிளிக்ஜாக்கிங் தாக்குதல்களிலிருந்து பாதுகாக்கவும்.
- பரிந்துரையாளர் தலைப்பைச் சரிபார்க்கவும்: கோரிக்கை எங்கிருந்து வந்தது என்பதைச் சரிபார்க்க பரிந்துரைப்பவர் தலைப்பைப் பாருங்கள், ஆனால் இந்த முறை மட்டும் போதாது என்பதை நினைவில் கொள்ளுங்கள்.
- பயனர் உள்நுழைவுகளைச் சரிபார்த்து சுத்தம் செய்யவும்: பயனர் உள்ளீட்டை எப்போதும் சரிபார்த்து சுத்தப்படுத்துங்கள். இது எக்ஸ்எஸ்எஸ் இது போன்ற பிற வகையான தாக்குதல்களுக்கு எதிராகவும் பாதுகாப்பை வழங்குகிறது.
- வழக்கமான பாதுகாப்பு சோதனைகளை நடத்துங்கள்: உங்கள் வலை பயன்பாட்டை தொடர்ந்து பாதுகாப்பு சோதனை செய்து, பாதிப்புகளைக் கண்டறிந்து நிவர்த்தி செய்யுங்கள்.
இந்த நடவடிக்கைகளுக்கு கூடுதலாக, உங்கள் பயனர்கள் சி.எஸ்.ஆர்.எஃப். சாத்தியமான தாக்குதல்கள் குறித்த விழிப்புணர்வை ஏற்படுத்துவது மிக முக்கியம். பயனர்கள் தாங்கள் அடையாளம் காணாத அல்லது நம்பாத மூலங்களிலிருந்து வரும் இணைப்புகளைக் கிளிக் செய்வதைத் தவிர்க்கவும், எப்போதும் பாதுகாப்பான வலை பயன்பாடுகளைத் தேர்வுசெய்யவும் அறிவுறுத்தப்பட வேண்டும். பாதுகாப்பு என்பது பல அடுக்கு அணுகுமுறை மூலம் அடையப்படுகிறது என்பதை நினைவில் கொள்வது அவசியம், மேலும் ஒவ்வொரு நடவடிக்கையும் ஒட்டுமொத்த பாதுகாப்பு நிலையை பலப்படுத்துகிறது.
CSRF தாக்குதல்கள் குறித்த தற்போதைய புள்ளிவிவரங்கள்
சி.எஸ்.ஆர்.எஃப். இணைய பயன்பாடுகளுக்கு கிராஸ்-சைட் ரிக்வெஸ்ட் ஃபோர்ஜரி (CRF) தாக்குதல்கள் தொடர்ந்து அச்சுறுத்தலை ஏற்படுத்தி வருகின்றன. தற்போதைய புள்ளிவிவரங்கள் இந்தத் தாக்குதல்களின் பரவல் மற்றும் சாத்தியமான தாக்கத்தை எடுத்துக்காட்டுகின்றன. மின் வணிக தளங்கள், வங்கி பயன்பாடுகள் மற்றும் சமூக ஊடக தளங்கள் போன்ற அதிக பயனர் தொடர்பு உள்ள பகுதிகளுக்கு இது குறிப்பாக உண்மை. சி.எஸ்.ஆர்.எஃப். அவை தாக்குதல்களுக்கு கவர்ச்சிகரமான இலக்குகளாகும். எனவே, டெவலப்பர்கள் மற்றும் பாதுகாப்பு நிபுணர்கள் இந்த வகையான தாக்குதல் குறித்து விழிப்புடன் இருப்பதும் பயனுள்ள பாதுகாப்பு வழிமுறைகளை உருவாக்குவதும் மிக முக்கியம்.
தற்போதைய புள்ளிவிவரங்கள்
- 2023 yılında web uygulama saldırılarının %15’ini சி.எஸ்.ஆர்.எஃப். உருவாக்கப்பட்டது.
- மின் வணிக தளங்களுக்கு சி.எஸ்.ஆர்.எஃப். saldırılarında %20 artış gözlemlendi.
- நிதித் துறையில் சி.எஸ்.ஆர்.எஃப். kaynaklı veri ihlalleri %12 arttı.
- மொபைல் பயன்பாடுகளில் சி.எஸ்.ஆர்.எஃப். zafiyetleri son bir yılda %18 yükseldi.
- சி.எஸ்.ஆர்.எஃப். saldırılarının ortalama maliyeti bir önceki yıla göre %10 arttı.
- நிதி, சில்லறை விற்பனை மற்றும் சுகாதாரப் பராமரிப்பு ஆகியவை பெரும்பாலும் குறிவைக்கப்படும் துறைகளில் அடங்கும்.
கீழே உள்ள அட்டவணை பல்வேறு துறைகளைக் காட்டுகிறது. சி.எஸ்.ஆர்.எஃப். இது தாக்குதல்களின் பரவல் மற்றும் தாக்கத்தை சுருக்கமாகக் கூறுகிறது. ஆபத்து மதிப்பீடுகளை மேற்கொள்ளும்போதும் பாதுகாப்பு நடவடிக்கைகளைச் செயல்படுத்தும்போதும் கருத்தில் கொள்ள வேண்டிய முக்கியமான தகவல்களை இந்தத் தரவு வழங்குகிறது.
| துறை | தாக்குதல் விகிதம் (%) | சராசரி செலவு (TL) | தரவு மீறல்களின் எண்ணிக்கை |
|---|---|---|---|
| நிதி | 25 | 500,000 | 15 |
| மின் வணிகம் | 20 | 350,000 | 12 |
| சுகாதாரம் | 15 | 250,000 | 8 |
| சமூக ஊடகம் | 10 | 150,000 | 5 |
சி.எஸ்.ஆர்.எஃப். தீம்பொருள் தாக்குதல்களின் விளைவுகளைத் தணிக்க, டெவலப்பர்கள் மற்றும் கணினி நிர்வாகிகள் தொடர்ந்து பாதுகாப்பு சோதனைகளை நடத்த வேண்டும், புதுப்பித்த பாதுகாப்பு இணைப்புகளைப் பயன்படுத்த வேண்டும் மற்றும் அத்தகைய தாக்குதல்கள் குறித்த பயனர் விழிப்புணர்வை ஏற்படுத்த வேண்டும். ஒத்திசைவு டோக்கன்கள் மற்றும் இரட்டைச் சமர்ப்பிப்பு குக்கீகள் பாதுகாப்பு வழிமுறைகளை சரியாகப் பயன்படுத்துதல், சி.எஸ்.ஆர்.எஃப். உங்கள் தாக்குதல்களின் வெற்றி விகிதத்தைக் கணிசமாகக் குறைக்கலாம்.
பாதுகாப்பு ஆராய்ச்சியாளர்களால் வெளியிடப்பட்ட அறிக்கைகள், சி.எஸ்.ஆர்.எஃப். தாக்குதல்கள் தொடர்ந்து உருவாகி வருகின்றன, மேலும் புதிய மாறுபாடுகள் உருவாகி வருகின்றன. எனவே, பாதுகாப்பு உத்திகள் தொடர்ந்து புதுப்பிக்கப்பட்டு மேம்படுத்தப்பட வேண்டும். பாதுகாப்பு பாதிப்புகளைக் கண்டறிந்து சரிசெய்வதற்கு ஒரு முன்னெச்சரிக்கை அணுகுமுறையை ஏற்றுக்கொள்வது, சி.எஸ்.ஆர்.எஃப். தாக்குதல்களின் சாத்தியமான தாக்கத்தைக் குறைக்கும்.
CSRF மற்றும் செயல் திட்டத்தின் முக்கியத்துவம்
CSRF (குறுக்கு-தள கோரிக்கை மோசடி) தாக்குதல்கள் வலை பயன்பாடுகளின் பாதுகாப்பிற்கு கடுமையான அச்சுறுத்தலை ஏற்படுத்துகின்றன. இந்தத் தாக்குதல்கள் அங்கீகரிக்கப்பட்ட பயனரை அறியாமலேயே தீங்கிழைக்கும் செயல்களைச் செய்யச் செய்யலாம். எடுத்துக்காட்டாக, தாக்குபவர் பயனரின் கடவுச்சொல்லை மாற்றலாம், நிதியை மாற்றலாம் அல்லது முக்கியமான தரவை கையாளலாம். எனவே, சி.எஸ்.ஆர்.எஃப். சைபர் தாக்குதல்களுக்கு எதிராக ஒரு முன்னெச்சரிக்கை அணுகுமுறையை எடுத்து, ஒரு பயனுள்ள செயல் திட்டத்தை உருவாக்குவது மிகவும் முக்கியம்.
| ஆபத்து நிலை | சாத்தியமான விளைவுகள் | தடுப்பு முறைகள் |
|---|---|---|
| உயர் | பயனர் கணக்கு சமரசம், தரவு மீறல்கள், நிதி இழப்புகள் | சி.எஸ்.ஆர்.எஃப். டோக்கன்கள், SameSite குக்கீகள், இரு-காரணி அங்கீகாரம் |
| நடுத்தர | தேவையற்ற சுயவிவர மாற்றங்கள், அங்கீகரிக்கப்படாத உள்ளடக்க வெளியீடு | பரிந்துரை கட்டுப்பாடு, பயனர் தொடர்பு தேவைப்படும் செயல்பாடுகள் |
| குறைந்த | சிறிய தரவு கையாளுதல்கள், சீர்குலைக்கும் செயல்கள் | எளிய சரிபார்ப்பு வழிமுறைகள், விகித வரம்பு |
| நிச்சயமற்றது | கணினி பாதிப்புகளால் ஏற்படும் விளைவுகள், கணிக்க முடியாத முடிவுகள் | தொடர்ச்சியான பாதுகாப்பு ஸ்கேன்கள், குறியீடு மதிப்பாய்வுகள் |
செயல் திட்டம், உங்கள் வலை பயன்பாடு சி.எஸ்.ஆர்.எஃப். தாக்குதல்களுக்கு எதிரான மீள்தன்மையை அதிகரிக்க எடுக்க வேண்டிய நடவடிக்கைகள் இதில் அடங்கும். இந்தத் திட்டம் இடர் மதிப்பீடு, பாதுகாப்பு நடவடிக்கைகளை செயல்படுத்துதல், சோதனை செயல்முறைகள் மற்றும் தொடர்ச்சியான கண்காணிப்பு போன்ற பல்வேறு நிலைகளை உள்ளடக்கியது. இதை மறந்துவிடக் கூடாது, சி.எஸ்.ஆர்.எஃப்.எடுக்கப்பட வேண்டிய நடவடிக்கைகள் தொழில்நுட்ப தீர்வுகளுக்கு மட்டும் மட்டுப்படுத்தப்படாமல், பயனர் விழிப்புணர்வு பயிற்சியையும் உள்ளடக்கியிருக்க வேண்டும்.
செயல் திட்டம்
- இடர் மதிப்பீடு: உங்கள் வலை பயன்பாட்டில் உள்ள சாத்தியக்கூறுகள் சி.எஸ்.ஆர்.எஃப். பாதிப்புகளை அடையாளம் காணவும்.
- சி.எஸ்.ஆர்.எஃப். டோக்கன் விண்ணப்பம்: அனைத்து முக்கியமான படிவங்கள் மற்றும் API கோரிக்கைகளுக்கும் தனித்துவமானது சி.எஸ்.ஆர்.எஃப். டோக்கன்களைப் பயன்படுத்துங்கள்.
- SameSite குக்கீகள்: உங்கள் குக்கீகள் குறுக்கு தள கோரிக்கைகளில் அனுப்பப்படுவதைத் தடுக்க, SameSite பண்புக்கூறுடன் அவற்றைப் பாதுகாக்கவும்.
- குறிப்பு சரிபார்ப்பு: உள்வரும் கோரிக்கைகளின் மூலத்தைச் சரிபார்த்து, சந்தேகத்திற்கிடமான கோரிக்கைகளைத் தடுக்கவும்.
- பயனர் விழிப்புணர்வு: ஃபிஷிங் மற்றும் பிற சமூக பொறியியல் தாக்குதல்கள் குறித்து உங்கள் பயனர்களுக்குக் கற்பிக்கவும்.
- பாதுகாப்பு சோதனைகள்: ஊடுருவல் சோதனைகள் மற்றும் பாதுகாப்பு ஸ்கேன்களை தொடர்ந்து செய்வதன் மூலம் பாதிப்புகளை அடையாளம் காணவும்.
- தொடர் கண்காணிப்பு: உங்கள் பயன்பாட்டில் அசாதாரண செயல்பாடுகளைக் கண்காணித்தல் சி.எஸ்.ஆர்.எஃப். தாக்குதல்களைக் கண்டறியவும்.
ஒரு வெற்றிகரமான சி.எஸ்.ஆர்.எஃப். ஒரு தற்காப்பு உத்திக்கு நிலையான விழிப்புணர்வு மற்றும் புதுப்பிப்புகள் தேவை. வலை தொழில்நுட்பங்களும் தாக்குதல் முறைகளும் தொடர்ந்து மாறிக்கொண்டே இருப்பதால், உங்கள் பாதுகாப்பு நடவடிக்கைகளை நீங்கள் தொடர்ந்து மதிப்பாய்வு செய்து புதுப்பிக்க வேண்டும். மேலும், உங்கள் மேம்பாட்டுக் குழு சி.எஸ்.ஆர்.எஃப். மற்றும் பிற வலை பாதிப்புகள் என்பது உங்கள் பயன்பாட்டின் பாதுகாப்பை உறுதி செய்வதற்கு எடுக்க வேண்டிய மிக முக்கியமான படிகளில் ஒன்றாகும். பாதுகாப்பான வலை சூழலுக்கு, சி.எஸ்.ஆர்.எஃப்.விழிப்புடன் இருப்பதும், அதற்கு எதிராகத் தயாராக இருப்பதும் மிக முக்கியம்.
CSRF ஐ சமாளிக்க மிகவும் பயனுள்ள வழிகள்
சி.எஸ்.ஆர்.எஃப். வலை பயன்பாடுகளின் பாதுகாப்பிற்கு கிராஸ்-சைட் ரிக்வெஸ்ட் ஃபோர்ஜரி (CRF) தாக்குதல்கள் கடுமையான அச்சுறுத்தலாகும். இந்த தாக்குதல்கள் பயனர்கள் தங்கள் அறிவு அல்லது ஒப்புதல் இல்லாமல் அங்கீகரிக்கப்படாத செயல்களைச் செய்ய அனுமதிக்கும். சி.எஸ்.ஆர்.எஃப். தாக்குதல்களைச் சமாளிக்க பல பயனுள்ள முறைகள் உள்ளன, மேலும் இந்த முறைகளை சரியாக செயல்படுத்துவது வலை பயன்பாடுகளின் பாதுகாப்பை கணிசமாக அதிகரிக்கும். இந்தப் பிரிவில், சி.எஸ்.ஆர்.எஃப். தாக்குதல்களுக்கு எதிராக எடுக்கக்கூடிய மிகவும் பயனுள்ள முறைகள் மற்றும் உத்திகளை நாங்கள் ஆராய்வோம்.
| முறை | விளக்கம் | செயல்படுத்துவதில் சிரமம் |
|---|---|---|
| ஒத்திசைக்கப்பட்ட டோக்கன் பேட்டர்ன் (STP) | ஒவ்வொரு பயனர் அமர்வுக்கும் ஒரு தனித்துவமான டோக்கன் உருவாக்கப்படுகிறது, மேலும் இந்த டோக்கன் ஒவ்வொரு படிவ சமர்ப்பிப்பிலும் சரிபார்க்கப்படும். | நடுத்தர |
| இரட்டைச் சமர்ப்பிப்பு குக்கீ | குக்கீ மற்றும் படிவ புலத்தில் ஒரே மதிப்பைப் பயன்படுத்துகிறது; மதிப்புகள் பொருந்துகிறதா என்பதை சேவையகம் சரிபார்க்கிறது. | எளிதானது |
| SameSite குக்கீ பண்புக்கூறு | குக்கீகள் ஒரே தள கோரிக்கைகளுடன் மட்டுமே அனுப்பப்படுவதை உறுதிசெய்கிறது, எனவே எந்த குக்கீகளும் குறுக்கு தள கோரிக்கைகளுடன் அனுப்பப்படாது. | எளிதானது |
| பரிந்துரை தலைப்பு கட்டுப்பாடு | கோரிக்கை வரும் மூலத்தைச் சரிபார்ப்பதன் மூலம் அங்கீகரிக்கப்படாத மூலங்களிலிருந்து வரும் கோரிக்கைகளை இது தடுக்கிறது. | நடுத்தர |
சி.எஸ்.ஆர்.எஃப். இந்த தாக்குதல்களுக்கு எதிராக பாதுகாப்பதற்கான மிகவும் பொதுவான மற்றும் பயனுள்ள முறைகளில் ஒன்று ஒத்திசைக்கப்பட்ட டோக்கன் பேட்டர்ன் (STP) ஐப் பயன்படுத்துவதாகும். STP என்பது ஒவ்வொரு பயனர் அமர்வுக்கும் ஒரு தனித்துவமான டோக்கனை உருவாக்கி, ஒவ்வொரு படிவ சமர்ப்பிப்பிலும் அதைச் சரிபார்க்கிறது. இந்த டோக்கன் பொதுவாக மறைக்கப்பட்ட படிவ புலம் அல்லது HTTP தலைப்பில் அனுப்பப்படும் மற்றும் சேவையகப் பக்கத்தில் சரிபார்க்கப்படும். இது செல்லுபடியாகும் டோக்கன் இல்லாமல் அங்கீகரிக்கப்படாத கோரிக்கைகளை அனுப்புவதைத் தாக்குபவர்களைத் தடுக்கிறது.
பயனுள்ள முறைகள்
- ஒத்திசைக்கப்பட்ட டோக்கன் வடிவத்தை (STP) செயல்படுத்துதல்
- இரட்டைச் சமர்ப்பிப்பு குக்கீ முறையைப் பயன்படுத்துதல்
- SameSite குக்கீ அம்சத்தை இயக்குதல்
- கோரிக்கைகளின் மூலத்தைச் சரிபார்க்கிறது (பரிந்துரையாளர் தலைப்பு)
- பயனர் உள்ளீடு மற்றும் வெளியீட்டை கவனமாக சரிபார்க்கவும்.
- கூடுதல் பாதுகாப்பு அடுக்குகளைச் சேர்த்தல் (எ.கா. CAPTCHA)
மற்றொரு பயனுள்ள முறை இரட்டை சமர்ப்பிப்பு குக்கீ நுட்பமாகும். இந்த நுட்பத்தில், சேவையகம் ஒரு குக்கீயில் ஒரு சீரற்ற மதிப்பை அமைத்து, அதே மதிப்பை ஒரு படிவ புலத்தில் பயன்படுத்துகிறது. படிவம் சமர்ப்பிக்கப்படும்போது, குக்கீயில் உள்ள மதிப்புகளும் படிவ புலமும் பொருந்துகிறதா என்று சேவையகம் சரிபார்க்கிறது. மதிப்புகள் பொருந்தவில்லை என்றால், கோரிக்கை நிராகரிக்கப்படும். இந்த முறை சி.எஸ்.ஆர்.எஃப். தாக்குபவர்கள் குக்கீ மதிப்பைப் படிக்கவோ மாற்றவோ முடியாது என்பதால், குக்கீ தாக்குதல்களைத் தடுப்பதில் இது மிகவும் பயனுள்ளதாக இருக்கும்.
SameSite குக்கீ அம்சம் சி.எஸ்.ஆர்.எஃப். இது தாக்குதல்களுக்கு எதிரான ஒரு முக்கியமான பாதுகாப்பு பொறிமுறையாகும். SameSite பண்புக்கூறு, ஒரே தள கோரிக்கைகளுடன் மட்டுமே குக்கீகள் அனுப்பப்படுவதை உறுதி செய்கிறது. இது குறுக்கு தள கோரிக்கைகளில் குக்கீகள் தானாகவே அனுப்பப்படுவதைத் தடுக்கிறது, இதனால் தடுக்கிறது சி.எஸ்.ஆர்.எஃப். இந்த அம்சம் வெற்றிகரமான தாக்குதல்களின் வாய்ப்பைக் குறைக்கிறது. நவீன வலை உலாவிகளில் இந்த அம்சத்தை இயக்குவது ஒப்பீட்டளவில் எளிதானது மற்றும் வலை பயன்பாடுகளின் பாதுகாப்பை மேம்படுத்துவதற்கான ஒரு முக்கியமான படியாகும்.
அடிக்கடி கேட்கப்படும் கேள்விகள்
CSRF தாக்குதல் ஏற்பட்டால், எனது பயனர் கணக்கு பாதிக்கப்படாமல் என்ன நடவடிக்கைகள் எடுக்க முடியும்?
CSRF தாக்குதல்கள் பொதுவாக பயனர் உள்நுழைந்திருக்கும் போது அவர்களின் சான்றுகளைத் திருடுவதற்குப் பதிலாக, அவர்களின் சார்பாக அங்கீகரிக்கப்படாத செயல்களைச் செய்வதை நோக்கமாகக் கொண்டுள்ளன. எடுத்துக்காட்டாக, அவர்கள் தங்கள் கடவுச்சொல்லை மாற்ற, தங்கள் மின்னஞ்சல் முகவரியைப் புதுப்பிக்க, நிதியை மாற்ற அல்லது மன்றங்கள்/சமூக ஊடகங்களில் இடுகையிட முயற்சிக்கலாம். தாக்குபவர், பயனர் ஏற்கனவே செய்ய அங்கீகரிக்கப்பட்ட செயல்களை அவர்களுக்குத் தெரியாமல் செய்கிறார்.
CSRF தாக்குதல்கள் வெற்றிபெற ஒரு பயனர் என்ன நிபந்தனைகளை பூர்த்தி செய்ய வேண்டும்?
ஒரு CSRF தாக்குதல் வெற்றிகரமாக இருக்க, பயனர் இலக்கு வலைத்தளத்தில் உள்நுழைந்திருக்க வேண்டும், மேலும் தாக்குபவர் பயனர் உள்நுழைந்துள்ள தளத்தைப் போன்ற ஒரு கோரிக்கையை அனுப்ப முடியும். அடிப்படையில், பயனர் இலக்கு வலைத்தளத்தில் அங்கீகரிக்கப்பட வேண்டும், மேலும் தாக்குபவர் அந்த அங்கீகாரத்தை ஏமாற்ற முடியும்.
CSRF டோக்கன்கள் எவ்வாறு சரியாக வேலை செய்கின்றன, அவை ஏன் மிகவும் பயனுள்ள பாதுகாப்பு பொறிமுறையாக இருக்கின்றன?
CSRF டோக்கன்கள் ஒவ்வொரு பயனர் அமர்வுக்கும் ஒரு தனித்துவமான மற்றும் யூகிக்க கடினமான மதிப்பை உருவாக்குகின்றன. இந்த டோக்கன் சேவையகத்தால் உருவாக்கப்பட்டு, ஒரு படிவம் அல்லது இணைப்பு மூலம் கிளையண்டிற்கு அனுப்பப்படுகிறது. கிளையன்ட் சேவையகத்திற்கு ஒரு கோரிக்கையைச் சமர்ப்பிக்கும்போது, அதில் இந்த டோக்கன் அடங்கும். சேவையகம் உள்வரும் கோரிக்கையின் டோக்கனை எதிர்பார்க்கப்படும் டோக்கனுடன் ஒப்பிட்டு, எந்த பொருத்தமும் இல்லை என்றால் கோரிக்கையை நிராகரிக்கிறது. இது ஒரு தாக்குபவர் தானாக உருவாக்கப்பட்ட கோரிக்கையுடன் ஒரு பயனரைப் போல ஆள்மாறாட்டம் செய்வதை கடினமாக்குகிறது, ஏனெனில் அவர்களிடம் செல்லுபடியாகும் டோக்கன் இருக்காது.
CSRF தாக்குதல்களிலிருந்து SameSite குக்கீகள் எவ்வாறு பாதுகாக்கின்றன, அவற்றுக்கு என்ன வரம்புகள் உள்ளன?
ஒரே தளத்திலிருந்து வரும் கோரிக்கைகளுடன் மட்டுமே குக்கீயை அனுப்ப அனுமதிப்பதன் மூலம் SameSite குக்கீகள் CSRF தாக்குதல்களைத் தணிக்கின்றன. மூன்று வெவ்வேறு மதிப்புகள் உள்ளன: கண்டிப்பு (குக்கீ ஒரே தளத்திற்குள் உள்ள கோரிக்கைகளுடன் மட்டுமே அனுப்பப்படும்), Lax (குக்கீ ஆன்-சைட் மற்றும் செக்யூர் (HTTPS) ஆஃப்-சைட் கோரிக்கைகளுடன் அனுப்பப்படும்), மற்றும் None (ஒவ்வொரு கோரிக்கையுடனும் குக்கீ அனுப்பப்படும்). 'ஸ்ட்ரிக்ட்' வலுவான பாதுகாப்பை வழங்கினாலும், சில சந்தர்ப்பங்களில் அது பயனர் அனுபவத்தைப் பாதிக்கலாம். 'எதுவுமில்லை' என்பதை 'செக்யூர்' உடன் இணைந்து பயன்படுத்த வேண்டும் மற்றும் பலவீனமான பாதுகாப்பை வழங்குகிறது. சில பழைய உலாவிகளால் ஆதரிக்கப்படாமல் இருப்பது வரம்புகளில் அடங்கும், மேலும் பயன்பாட்டின் தேவைகளைப் பொறுத்து வெவ்வேறு SameSite மதிப்புகளைத் தேர்ந்தெடுக்க வேண்டியிருக்கும்.
ஏற்கனவே உள்ள வலை பயன்பாடுகளில் CSRF பாதுகாப்புகளை டெவலப்பர்கள் எவ்வாறு செயல்படுத்தலாம் அல்லது மேம்படுத்தலாம்?
டெவலப்பர்கள் முதலில் CSRF டோக்கன்களை செயல்படுத்தி, ஒவ்வொரு படிவத்திலும் AJAX கோரிக்கையிலும் அவற்றைச் சேர்க்க வேண்டும். அவர்கள் SameSite குக்கீகளையும் பொருத்தமான முறையில் உள்ளமைக்க வேண்டும் (பொதுவாக 'கண்டிப்பான' அல்லது 'லேக்ஸ்' பரிந்துரைக்கப்படுகிறது). கூடுதலாக, இரட்டைச் சமர்ப்பிப்பு குக்கீகள் போன்ற கூடுதல் பாதுகாப்பு வழிமுறைகளைப் பயன்படுத்தலாம். வழக்கமான பாதுகாப்பு சோதனை மற்றும் வலை பயன்பாட்டு ஃபயர்வாலை (WAF) பயன்படுத்துவதும் CSRF தாக்குதல்களுக்கு எதிராகப் பாதுகாக்கும்.
CSRF தாக்குதல் கண்டறியப்பட்டால் உடனடியாக எடுக்க வேண்டிய நடவடிக்கைகள் என்ன?
CSRF தாக்குதல் கண்டறியப்படும்போது, பாதிக்கப்பட்ட பயனர்களையும், சமரசம் செய்யக்கூடிய செயல்முறைகளையும் முதலில் அடையாளம் காண்பது முக்கியம். பயனர்களுக்குத் தெரிவித்து, அவர்களின் கடவுச்சொற்களை மீட்டமைக்க பரிந்துரைப்பது ஒரு நல்ல நடைமுறையாகும். கணினி பாதிப்புகளை சரிசெய்தல் மற்றும் தாக்குதல் வெக்டரை மூடுவது மிகவும் முக்கியம். மேலும், தாக்குதலின் மூலத்தை பகுப்பாய்வு செய்வதற்கும் எதிர்கால தாக்குதல்களைத் தடுப்பதற்கும் பதிவுகளை பகுப்பாய்வு செய்வது அவசியம்.
CSRF-க்கு எதிரான பாதுகாப்பு உத்திகள் ஒற்றைப் பக்க பயன்பாடுகளுக்கும் (SPA) பாரம்பரிய பல பக்க பயன்பாடுகளுக்கும் (MPA) வேறுபடுகின்றனவா? அப்படியானால், ஏன்?
ஆம், SPAக்கள் மற்றும் MPAக்களுக்கு CSRF பாதுகாப்பு உத்திகள் வேறுபடுகின்றன. MPAக்களில், CSRF டோக்கன்கள் சர்வர் பக்கமாக உருவாக்கப்பட்டு படிவங்களில் சேர்க்கப்படுகின்றன. SPAக்கள் பொதுவாக API அழைப்புகளைச் செய்வதால், டோக்கன்கள் HTTP தலைப்புகளில் சேர்க்கப்படுகின்றன அல்லது இரட்டைச் சமர்ப்பிக்கும் குக்கீகள் பயன்படுத்தப்படுகின்றன. SPAக்களில் அதிக கிளையன்ட் பக்க ஜாவாஸ்கிரிப்ட் குறியீடு இருப்பது தாக்குதல் மேற்பரப்பை அதிகரிக்கக்கூடும், எனவே எச்சரிக்கை அவசியம். கூடுதலாக, SPAக்களுக்கு CORS (குறுக்கு-தோற்ற வள பகிர்வு) உள்ளமைவும் முக்கியமானது.
வலை பயன்பாட்டு பாதுகாப்பின் சூழலில், CSRF மற்ற பொதுவான வகை தாக்குதல்களுடன் (XSS, SQL ஊசி, முதலியன) எவ்வாறு தொடர்புடையது? தற்காப்பு உத்திகளை எவ்வாறு ஒருங்கிணைக்க முடியும்?
CSRF, XSS (Cross-Site Scripting) மற்றும் SQL Injection போன்ற பிற பொதுவான தாக்குதல் வகைகளை விட வேறுபட்ட நோக்கத்திற்கு உதவுகிறது, ஆனால் அவை பெரும்பாலும் ஒன்றோடொன்று இணைந்து பயன்படுத்தப்படுகின்றன. எடுத்துக்காட்டாக, XSS தாக்குதலைப் பயன்படுத்தி CSRF தாக்குதலைத் தூண்டலாம். எனவே, ஒரு அடுக்கு பாதுகாப்பு அணுகுமுறையை ஏற்றுக்கொள்வது முக்கியம். உள்ளீட்டுத் தரவைச் சுத்திகரித்தல் மற்றும் XSS க்கு எதிராக வெளியீட்டுத் தரவை குறியாக்கம் செய்தல், SQL Injection க்கு எதிராக அளவுருவாக்கப்பட்ட வினவல்களைப் பயன்படுத்துதல் மற்றும் CSRF க்கு எதிராக CSRF டோக்கன்களைப் பயன்படுத்துதல் போன்ற பல்வேறு பாதுகாப்பு வழிமுறைகள் ஒன்றாகப் பயன்படுத்தப்பட வேண்டும். பாதிப்புகளைத் தொடர்ந்து ஸ்கேன் செய்தல் மற்றும் பாதுகாப்பு விழிப்புணர்வை ஏற்படுத்துதல் ஆகியவை ஒருங்கிணைந்த பாதுகாப்பு உத்தியின் ஒரு பகுதியாகும்.
மேலும் தகவல்: OWASP முதல் பத்து
எங்களது விருதுகள்
Türkçe 
English 
简体中文 
हिन्दी 
Español 
Français 
العربية 
বাংলা 
Русский 
Português 
اردو 
Deutsch 
日本語 
தமிழ் 
मराठी 
Tiếng Việt 
Italiano 
Azərbaycan dili 
Nederlands 
فارسی 
Bahasa Melayu 
Basa Jawa 
తెలుగు 
한국어 
ไทย 
ગુજરાતી 
Polski 
Українська 
ಕನ್ನಡ 
ဗမာစာ 
Română 
മലയാളം 
ਪੰਜਾਬੀ 
Bahasa Indonesia 
سنڌي 
አማርኛ 
Tagalog 
Magyar 
O‘zbekcha 
Български 
Ελληνικά 
Suomi 
Slovenčina 
Српски језик 
Afrikaans 
Čeština 
Беларуская мова 
Bosanski 
Dansk 
پښتو
மறுமொழி இடவும்