WordPress GO سروس میں 1 سال کی مفت ڈومین کا موقع
یہ بلاگ پوسٹ CSRF (کراس سائٹ ریکوسٹ فورجری) حملوں، ویب سیکیورٹی کا ایک اہم پہلو، اور ان کے خلاف دفاع کے لیے استعمال ہونے والی تکنیکوں کا جائزہ لیتی ہے۔ یہ بتاتا ہے کہ CSRF (Cross-Site Request Forgery) کیا ہے، حملے کیسے ہوتے ہیں، اور ان سے کیا ہو سکتا ہے۔ یہ ایسے حملوں کے خلاف احتیاطی تدابیر اور دستیاب دفاعی آلات اور طریقوں پر بھی توجہ مرکوز کرتا ہے۔ پوسٹ CSRF (کراس سائٹ ریکوسٹ فورجری) حملوں سے تحفظ کے لیے عملی تجاویز پیش کرتی ہے اور موجودہ اعدادوشمار کا حوالہ دے کر موضوع کی اہمیت کو اجاگر کرتی ہے۔ بالآخر، قارئین کو ایک جامع گائیڈ پیش کیا جاتا ہے، جس میں CSRF (کراس سائٹ ریکوسٹ فورجری) کا مقابلہ کرنے کے مؤثر طریقے اور تجویز کردہ ایکشن پلان شامل ہیں۔
CSRF (کراس سائٹ درخواست جعل سازی) کیا ہے؟
CSRF (کراس سائٹ درخواست جعلسازی)ایک کمزوری ایک ویب کمزوری ہے جو ایک نقصان دہ ویب سائٹ کو دوسری سائٹ پر غیر مجاز کارروائیاں کرنے کی اجازت دیتی ہے جب کہ صارف اپنے براؤزر میں لاگ ان ہوتا ہے۔ شکار کی شناخت کے طور پر غیر مجاز درخواستیں بھیج کر، حملہ آور صارف کے علم یا رضامندی کے بغیر کارروائیاں کر سکتا ہے۔ مثال کے طور پر، وہ شکار کا پاس ورڈ تبدیل کر سکتے ہیں، فنڈز منتقل کر سکتے ہیں، یا اپنا ای میل ایڈریس تبدیل کر سکتے ہیں۔
CSRF حملے عام طور پر سوشل انجینئرنگ کے ذریعے کیے جاتے ہیں۔ حملہ آور شکار کو ایک نقصان دہ لنک پر کلک کرنے یا کسی نقصان دہ ویب سائٹ پر جانے کے لیے راضی کرتا ہے۔ یہ ویب سائٹ خود بخود اس ہدف شدہ ویب سائٹ کو درخواستیں بھیجتی ہے جس کا شکار اپنے براؤزر میں لاگ ان ہوتا ہے۔ براؤزر خود بخود ان درخواستوں کو ہدف شدہ سائٹ پر بھیجتا ہے، جس کے بعد یہ فرض کیا جاتا ہے کہ درخواست متاثرہ کی طرف سے آئی ہے۔
| فیچر | وضاحت | روک تھام کے طریقے |
|---|---|---|
| تعریف | صارف کی اجازت کے بغیر درخواستیں بھیجنا | CSRF ٹوکنز، SameSite کوکیز |
| مقصد | لاگ ان صارفین کو نشانہ بناتا ہے۔ | تصدیقی میکانزم کو مضبوط بنانا |
| نتائج | ڈیٹا چوری، غیر مجاز لین دین | ان پٹ اور آؤٹ پٹس کو فلٹر کرنا |
| پھیلاؤ | ویب ایپلیکیشنز میں ایک عام خطرہ | باقاعدگی سے سیکورٹی ٹیسٹ کا انعقاد |
سی ایس آر ایف کے حملوں سے بچاؤ کے لیے مختلف اقدامات کیے جا سکتے ہیں۔ ان میں شامل ہیں: CSRF ٹوکنز استعمال کرنا، SameSite کوکیز اور اہم کارروائیوں کے لیے صارف سے اضافی تصدیق کی ضرورت ہے۔ ویب ڈویلپرز کو اپنی ایپلی کیشنز کو CSRF حملوں سے بچانے کے لیے ان اقدامات کو نافذ کرنا چاہیے۔
CSRF کی بنیادی باتیں
- CSRF صارف کے علم کے بغیر غیر مجاز کارروائیوں کو انجام دینے کی اجازت دیتا ہے۔
- حملہ آور متاثرہ کی شناخت کا استعمال کرتے ہوئے درخواستیں بھیجتا ہے۔
- سوشل انجینئرنگ اکثر استعمال ہوتی ہے۔
- CSRF ٹوکن اور SameSite کوکیز اہم دفاعی طریقہ کار ہیں۔
- ویب ڈویلپرز کو اپنی ایپلی کیشنز کی حفاظت کے لیے احتیاط کرنی چاہیے۔
- باقاعدگی سے سیکیورٹی ٹیسٹنگ کے ذریعے کمزوریوں کا پتہ لگایا جاسکتا ہے۔
سی ایس آر ایفویب ایپلیکیشنز کے لیے ایک سنگین خطرہ ہے، اور ڈویلپرز کے لیے ایسے حملوں کو روکنے کے لیے احتیاطی تدابیر اختیار کرنا ضروری ہے۔ صارفین مشتبہ لنکس پر کلک کرنے سے گریز اور قابل اعتماد ویب سائٹس کا استعمال کرکے بھی اپنی حفاظت کرسکتے ہیں۔
CSRF حملوں کا جائزہ
CSRF (کراس سائٹ درخواست جعلسازی) حملے کسی نقصان دہ ویب سائٹ کو صارف کے براؤزر میں لاگ ان ہونے والی دوسری ویب سائٹ پر صارف کے علم یا رضامندی کے بغیر کارروائیاں کرنے کی اجازت دیتے ہیں۔ یہ حملے عام طور پر اس سائٹ کے ذریعے غیر مجاز کمانڈز بھیج کر کیے جاتے ہیں جس پر صارف بھروسہ کرتا ہے۔ مثال کے طور پر، ایک حملہ آور بینکنگ ایپ میں رقم کی منتقلی یا سوشل میڈیا اکاؤنٹ پر پوسٹ کرنے جیسی کارروائیوں کو نشانہ بنا سکتا ہے۔
- CSRF حملوں کی خصوصیات
- یہ ایک ہی کلک سے کیا جا سکتا ہے۔
- صارف کا لاگ ان ہونا ضروری ہے۔
- حملہ آور صارف کی اسناد تک براہ راست رسائی نہیں کر سکتا۔
- اس میں اکثر سوشل انجینئرنگ کی تکنیکیں شامل ہوتی ہیں۔
- درخواستیں متاثرہ کے براؤزر کے ذریعے بھیجی جاتی ہیں۔
- یہ ٹارگٹ ویب ایپلیکیشن کی سیشن مینجمنٹ کی کمزوریوں کا استحصال کرتا ہے۔
CSRF حملے خاص طور پر ویب ایپلیکیشنز میں کمزوریوں کا استحصال کرتے ہیں۔ ان حملوں میں، ایک حملہ آور اس ویب سائٹ کو درخواستیں بھیجتا ہے جس میں صارف لاگ ان ہوتا ہے ایک نقصان دہ لنک یا اسکرپٹ کے ذریعے جو متاثرہ کے براؤزر میں داخل ہوتا ہے۔ یہ درخواستیں صارف کی اپنی درخواستوں کے طور پر ظاہر ہوتی ہیں اور اس لیے ویب سرور کے ذریعہ ان کو جائز سمجھا جاتا ہے۔ یہ حملہ آور کو صارف کے اکاؤنٹ میں غیر مجاز تبدیلیاں کرنے یا حساس ڈیٹا تک رسائی کی اجازت دیتا ہے۔
| حملے کی قسم | وضاحت | روک تھام کے طریقے |
|---|---|---|
| GET پر مبنی CSRF | حملہ آور کنکشن کے ذریعے درخواست بھیجتا ہے۔ | AntiForgeryToken کا استعمال، حوالہ دینے والا کنٹرول۔ |
| پوسٹ پر مبنی CSRF | حملہ آور فارم جمع کر کے درخواست بھیجتا ہے۔ | اینٹی فورجی ٹوکن کا استعمال، کیپچا۔ |
| JSON پر مبنی CSRF | حملہ آور JSON ڈیٹا کے ساتھ ایک درخواست بھیجتا ہے۔ | کسٹم ہیڈرز، CORS پالیسیوں کا کنٹرول۔ |
| فلیش پر مبنی CSRF | حملہ آور فلیش ایپلی کیشن کے ذریعے درخواست بھیجتا ہے۔ | فلیش کو غیر فعال کرنا، سیکیورٹی اپ ڈیٹس۔ |
ان حملوں کو روکنے کے لیے مختلف دفاعی میکانزم تیار کیے گئے ہیں۔ سب سے زیادہ عام طریقوں میں سے ایک ہے اینٹی فورجی ٹوکن یہ طریقہ ہر فارم جمع کرانے کے لیے ایک منفرد ٹوکن تیار کرتا ہے، اس بات کی تصدیق کرتا ہے کہ درخواست ایک جائز صارف کی طرف سے کی گئی ہے۔ ایک اور طریقہ ہے۔ SameSite کوکیز یہ کوکیز صرف ایک ہی سائٹ کے اندر درخواستوں کے ساتھ بھیجی جاتی ہیں، اس طرح کراس سائٹ کی درخواستوں کو روکا جاتا ہے۔ اس کے علاوہ، حوالہ دینے والا ہیڈر کو چیک کرنے سے حملوں کو روکنے میں بھی مدد مل سکتی ہے۔
سی ایس آر ایف حملے ویب ایپلیکیشنز کے لیے ایک سنگین خطرہ ہیں اور صارفین اور ڈویلپرز دونوں کو احتیاط کے ساتھ نمٹا جانا چاہیے۔ اس طرح کے حملوں کے اثرات کو کم کرنے کے لیے مضبوط دفاع کو نافذ کرنا اور صارف کی بیداری میں اضافہ کرنا بہت ضروری ہے۔ ویب ڈویلپرز کو چاہیے کہ وہ اپنی ایپلی کیشنز کو ڈیزائن کرتے وقت سیکیورٹی کے اصولوں پر غور کریں اور باقاعدہ سیکیورٹی ٹیسٹنگ کریں۔
CSRF کے حملے کیسے کیے جاتے ہیں؟
CSRF (کراس سائٹ درخواست جعلسازی) مداخلت کے حملوں میں ایک بدنیتی پر مبنی ویب سائٹ یا ایپلیکیشن شامل ہوتی ہے جو صارف کے علم یا رضامندی کے بغیر کسی مجاز صارف کے براؤزر کے ذریعے درخواستیں بھیجتی ہے۔ یہ حملے ایک ویب ایپلیکیشن کے اندر ہوتے ہیں جس میں صارف لاگ ان ہوتا ہے (مثال کے طور پر، بینکنگ سائٹ یا سوشل میڈیا پلیٹ فارم)۔ صارف کے براؤزر میں بدنیتی پر مبنی کوڈ ڈال کر، حملہ آور صارف کے علم کے بغیر کارروائیاں کر سکتا ہے۔
سی ایس آر ایف اس حملے کی بنیادی وجہ یہ ہے کہ ویب ایپلیکیشنز HTTP درخواستوں کو درست کرنے کے لیے مناسب حفاظتی اقدامات کو نافذ کرنے میں ناکام رہتی ہیں۔ یہ حملہ آوروں کو جعلی درخواستیں بنانے اور انہیں صارف کی جائز درخواستوں کے طور پر پیش کرنے کی اجازت دیتا ہے۔ مثال کے طور پر، ایک حملہ آور صارف کو اپنا پاس ورڈ تبدیل کرنے، فنڈز کی منتقلی، یا اپنی پروفائل کی معلومات کو اپ ڈیٹ کرنے پر مجبور کر سکتا ہے۔ اس قسم کے حملوں کے انفرادی صارفین اور بڑی تنظیموں دونوں کے لیے سنگین نتائج ہو سکتے ہیں۔
| حملے کی قسم | وضاحت | مثال |
|---|---|---|
| یو آر ایل پر مبنی سی ایس آر ایف | حملہ آور ایک بدنیتی پر مبنی URL بناتا ہے اور صارف کو اس پر کلک کرنے کی ترغیب دیتا ہے۔ | <a href="http://example.com/transfer?to=attacker&amount=1000">آپ نے انعام جیت لیا ہے!</a> |
| فارم پر مبنی سی ایس آر ایف | حملہ آور ایک فارم بنا کر صارف کو دھوکہ دیتا ہے جو خود بخود جمع ہو جاتا ہے۔ | <form action=http://example.com/transfer method=POST><input type=hidden name=to value=attacker><input type=hidden name=amount value=1000><input type=submit value=Gönder></form> |
| JSON پر مبنی سی ایس آر ایف | حملہ API کی درخواستوں میں کمزوریوں کا استعمال کرکے کیا جاتا ہے۔ | بازیافت کریں('http://example.com/api/transfer', { طریقہ: 'POST', body: JSON.stringify({ سے: 'حملہ آور'، رقم: 1000 ) ) |
| تصویری ٹیگ کے ساتھ سی ایس آر ایف | حملہ آور تصویری ٹیگ کا استعمال کرتے ہوئے درخواست بھیجتا ہے۔ | <img src="http://example.com/transfer?to=attacker&amount=1000"> |
سی ایس آر ایف حملوں کے کامیاب ہونے کے لیے، صارف کو ٹارگٹ ویب سائٹ پر لاگ ان ہونا چاہیے، اور حملہ آور کو صارف کے براؤزر کو نقصان دہ درخواست بھیجنے کے قابل ہونا چاہیے۔ یہ درخواست عام طور پر ای میل، ویب سائٹ، یا فورم پوسٹ کے ذریعے کی جاتی ہے۔ جب صارف درخواست پر کلک کرتا ہے، براؤزر خود بخود ہدف کی ویب سائٹ پر ایک درخواست بھیجتا ہے، جو صارف کی اسناد کے ساتھ بھیجی جاتی ہے۔ لہذا، ویب ایپلی کیشنز سی ایس آر ایف حملوں سے تحفظ انتہائی ضروری ہے۔
حملے کے منظرنامے۔
سی ایس آر ایف حملے عام طور پر مختلف منظرناموں کے ذریعے کیے جاتے ہیں۔ سب سے عام منظرناموں میں سے ایک ای میل کے ذریعے بھیجا جانے والا بدنیتی پر مبنی لنک ہے۔ جب صارف اس لنک پر کلک کرتا ہے تو پس منظر میں ایک بدنیتی پر مبنی لنک بن جاتا ہے۔ سی ایس آر ایف ایک بدنیتی پر مبنی حملہ شروع ہوتا ہے اور صارف کے علم کے بغیر کارروائیاں کی جاتی ہیں۔ ایک اور منظر نامے میں ایک قابل اعتماد ویب سائٹ پر رکھی گئی بدنیتی پر مبنی تصویر یا JavaScript کوڈ کے ذریعے حملہ ہے۔
مطلوبہ ٹولز
سی ایس آر ایف حملوں کو انجام دینے یا جانچنے کے لیے مختلف ٹولز استعمال کیے جا سکتے ہیں۔ ان ٹولز میں Burp Suite، OWASP ZAP، اور مختلف حسب ضرورت اسکرپٹس شامل ہیں۔ یہ ٹولز حملہ آوروں کو جعلی درخواستیں بنانے، HTTP ٹریفک کا تجزیہ کرنے اور کمزوریوں کی نشاندہی کرنے میں مدد کرتے ہیں۔ سیکورٹی پروفیشنلز ان ٹولز کو ویب ایپلیکیشنز کی سیکورٹی کو جانچنے کے لیے بھی استعمال کر سکتے ہیں۔ سی ایس آر ایف خلا کی نشاندہی کر سکتے ہیں۔
CSRF حملے کے اقدامات
- ٹارگٹ ویب ایپلیکیشن میں کمزوریوں کی نشاندہی کرنا۔
- جس ویب سائٹ پر صارف لاگ ان ہوتا ہے اس پر ایک بدنیتی پر مبنی درخواست بنائی جاتی ہے۔
- صارف کی جانب سے اس درخواست کو متحرک کرنے کے لیے سوشل انجینئرنگ تکنیک کا استعمال۔
- صارف کا براؤزر جعلی درخواست کو ہدف کی ویب سائٹ پر بھیجتا ہے۔
- منزل کی ویب سائٹ درخواست کو صارف کی ایک جائز درخواست کے طور پر دیکھتی ہے۔
- حملہ آور صارف کے اکاؤنٹ کے ذریعے غیر مجاز کارروائیاں کرتا ہے۔
کیسے روکا جائے؟
سی ایس آر ایف حملوں کو روکنے کے مختلف طریقے ہیں۔ ان طریقوں میں سے سب سے عام میں شامل ہیں: سی ایس آر ایف ٹوکنز، SameSite کوکیز، اور کوکیز کو ڈبل بھیجیں۔ سی ایس آر ایف ٹوکن حملہ آوروں کو ہر فارم یا درخواست کے لیے ایک منفرد قدر پیدا کرکے جعلی درخواستیں بنانے سے روکتے ہیں۔ SameSite کوکیز اس بات کو یقینی بناتے ہیں کہ کوکیز صرف اسی سائٹ پر درخواستوں کے ساتھ بھیجی جاتی ہیں، سی ایس آر ایف دوسری طرف، کوکیز کو دوہرا جمع کرانا، حملہ آوروں کے لیے کوکیز اور فارم فیلڈ دونوں میں یکساں قیمت بھیجنے کے لیے درخواستیں تیار کرنا مشکل بنا دیتا ہے۔
مزید برآں، ویب ایپلیکیشنز کا باقاعدگی سے سیکیورٹی ٹیسٹ کیا جاتا ہے اور سیکیورٹی کے خطرات کو دور کیا جاتا ہے۔ سی ایس آر ایف حملوں کو روکنا ضروری ہے۔ ڈویلپرز، سی ایس آر ایف یہ سمجھنا کہ حملے کیسے کام کرتے ہیں اور انہیں کیسے روکا جائے محفوظ ایپلی کیشنز تیار کرنے کے لیے اہم ہے۔ صارفین کو مشکوک لنکس سے بچنے اور ویب سائٹس کے محفوظ ہونے کو یقینی بنانے کی بھی ضرورت ہے۔
احتیاطی تدابیر جو CSRF حملوں کے خلاف کی جا سکتی ہیں۔
CSRF (کراس سائٹ درخواست جعلسازی) حملوں کے خلاف انسدادی اقدامات میں متعدد حکمت عملی شامل ہوتی ہے جنہیں ڈویلپرز اور صارفین دونوں کے ذریعے لاگو کیا جا سکتا ہے۔ ان اقدامات کا مقصد حملہ آوروں کی جانب سے بدنیتی پر مبنی درخواستوں کو روکنا اور صارف کی حفاظت کو یقینی بنانا ہے۔ بنیادی طور پر، یہ اقدامات درخواستوں کی قانونی حیثیت کی تصدیق اور غیر مجاز رسائی کو روکنے پر توجہ مرکوز کرتے ہیں۔
ایک مؤثر دفاعی حکمت عملی کے لیے، ایسے اقدامات ہیں جو سرور اور کلائنٹ دونوں طرف سے اٹھانے کی ضرورت ہے۔ سرور کی طرف، درخواستوں کی صداقت کی تصدیق کرنے کے لیے۔ سی ایس آر ایف ٹوکنز کا استعمال، SameSite کوکیز کے ساتھ کوکیز کے دائرہ کار کو محدود کرنا، اور ڈبل بھیجی جانے والی کوکیز کا استعمال اہم ہیں۔ کلائنٹ کی طرف سے، صارفین کو نامعلوم یا غیر محفوظ کنکشن سے بچنے کے لیے تعلیم دینا اور براؤزر کی سیکیورٹی سیٹنگز کو مناسب طریقے سے ترتیب دینا بہت ضروری ہے۔
احتیاطی تدابیر اختیار کی جائیں۔
- CSRF ٹوکن کا استعمال: ہر سیشن کے لیے ایک منفرد ٹوکن بنا کر درخواستوں کی درستگی کی جانچ کریں۔
- SameSite کوکیز: اس بات کو یقینی بنا کر کہ کوکیز صرف اسی سائٹ پر درخواستوں کے ساتھ بھیجی جاتی ہیں۔ سی ایس آر ایف خطرے کو کم کریں.
- ڈبل جمع کرانے والی کوکیز: کوکی اور درخواست کے باڈی دونوں میں ایک ہی قدر موجود ہونے کو یقینی بنا کر توثیق کو مضبوط کریں۔
- Origin Control (Origin Header): درخواستوں کے ماخذ کو چیک کرکے غیر مجاز درخواستوں کو مسدود کریں۔
- صارف کی تربیت: صارفین کو مشکوک لنکس اور ای میلز سے آگاہ کریں۔
- حفاظتی عنوانات: سیکیورٹی ہیڈرز جیسے کہ X-Frame-Options اور Content-Security-Policy کا استعمال کرتے ہوئے اضافی تحفظ فراہم کریں۔
نیچے دی گئی جدول میں، سی ایس آر ایف آپ حملوں کے خلاف ممکنہ انسدادی اقدامات کا خلاصہ دیکھ سکتے ہیں اور حملوں کی اقسام کو دیکھ سکتے ہیں کہ ہر جوابی اقدام کے خلاف موثر ہے۔ یہ جدول ڈویلپرز اور سیکیورٹی پیشہ ور افراد کو باخبر فیصلے کرنے میں مدد کرے گا کہ کون سے انسدادی اقدامات کو نافذ کرنا ہے۔
| احتیاط | وضاحت | حملے اس کے خلاف موثر ہیں۔ |
|---|---|---|
| سی ایس آر ایف ٹوکنز | یہ ہر درخواست کے لیے ایک منفرد ٹوکن بنا کر درخواست کی درستگی کی تصدیق کرتا ہے۔ | بنیاد سی ایس آر ایف حملے |
| SameSite کوکیز | اس بات کو یقینی بناتا ہے کہ کوکیز صرف اسی سائٹ پر درخواستوں کے ساتھ بھیجی جاتی ہیں۔ | کراس سائٹ کی درخواست جعلسازی |
| ڈبل جمع کرانے والی کوکیز | کوکی اور درخواست کے باڈی دونوں میں ایک ہی قدر موجود ہونے کی ضرورت ہے۔ | ٹوکن کی چوری یا ہیرا پھیری |
| اوریجن کنٹرول | یہ درخواستوں کے ذریعہ کی جانچ کرکے غیر مجاز درخواستوں کو روکتا ہے۔ | ڈومین نام کی جعل سازی |
یہ نہیں بھولنا چاہیے کہ، سی ایس آر ایف ان اقدامات کا مجموعہ حملوں کے خلاف مکمل تحفظ فراہم کرنے کے لیے استعمال کیا جانا چاہیے۔ تمام اٹیک ویکٹرز سے حفاظت کے لیے کوئی ایک پیمانہ کافی نہیں ہو سکتا۔ لہذا، یہ ضروری ہے کہ ایک تہہ دار سیکورٹی اپروچ اپنایا جائے اور کمزوریوں کے لیے باقاعدگی سے اسکین کیا جائے۔ مزید برآں، سیکورٹی کی پالیسیوں اور طریقہ کار کو باقاعدگی سے اپ ڈیٹ کرنا نئے خطرات کے خلاف تیاری کو یقینی بناتا ہے۔
CSRF کے اثرات اور نتائج
سی ایس آر ایف کراس سائٹ ریکوسٹ فورجری (CRF) حملوں کے اثرات صارفین اور ویب ایپلیکیشنز دونوں کے لیے سنگین نتائج کا باعث بن سکتے ہیں۔ یہ حملے غیر مجاز لین دین کی اجازت دیتے ہیں، صارفین کے اکاؤنٹس اور حساس ڈیٹا کو خطرے میں ڈالتے ہیں۔ حملہ آور مختلف قسم کی بدنیتی پر مبنی سرگرمیاں انجام دینے کے لیے صارفین کے غیر ارادی اقدامات سے فائدہ اٹھا سکتے ہیں۔ یہ نہ صرف انفرادی صارفین بلکہ کمپنیوں اور تنظیموں کے لیے بھی اہم ساکھ اور مالی نقصانات کا باعث بن سکتا ہے۔
CSRF حملوں کے ممکنہ اثرات کو سمجھنا ان کے خلاف زیادہ موثر دفاع تیار کرنے کے لیے اہم ہے۔ حملے صارف کے اکاؤنٹ کی ترتیبات میں ترمیم کرنے سے لے کر رقوم کی منتقلی اور یہاں تک کہ غیر مجاز مواد کی اشاعت تک ہو سکتے ہیں۔ یہ حرکتیں نہ صرف صارف کے اعتماد کو ختم کرتی ہیں بلکہ ویب ایپلیکیشنز کی وشوسنییتا کو بھی نقصان پہنچاتی ہیں۔
CSRF کے منفی اثرات
- اکاؤنٹ ٹیک اوور اور غیر مجاز رسائی۔
- صارف کے ڈیٹا میں ہیرا پھیری یا حذف کرنا۔
- مالی نقصانات (غیر مجاز رقم کی منتقلی، خریداری)۔
- ساکھ کا نقصان اور گاہک کے اعتماد کا نقصان۔
- ویب ایپلیکیشن کے وسائل کا غلط استعمال۔
- قانونی مسائل اور قانونی ذمہ داریاں۔
نیچے دی گئی جدول مختلف منظرناموں میں CSRF حملوں کے ممکنہ نتائج کا مزید تفصیل سے جائزہ لیتی ہے۔
| حملے کا منظر نامہ | ممکنہ نتائج | متاثرہ پارٹی |
|---|---|---|
| پاس ورڈ کی تبدیلی | صارف کے اکاؤنٹ تک رسائی کا نقصان، ذاتی ڈیٹا کی چوری. | صارف |
| بینک اکاؤنٹ سے رقم کی منتقلی۔ | غیر مجاز رقم کی منتقلی، مالی نقصانات۔ | صارف، بینک |
| سوشل میڈیا شیئرنگ | ناپسندیدہ یا نقصان دہ مواد کا پھیلاؤ، ساکھ کا نقصان۔ | صارف، سوشل میڈیا پلیٹ فارم |
| ای کامرس سائٹ پر آرڈر کرنا | غیر مجاز پروڈکٹ آرڈرز، مالی نقصانات۔ | صارف، ای کامرس سائٹ |
یہ نتائج، سی ایس آر ایف اس سے ان حملوں کی سنگینی کا اندازہ ہوتا ہے۔ اس لیے، ویب ڈویلپرز اور سسٹم ایڈمنسٹریٹرز کے لیے یہ بہت ضروری ہے کہ وہ ایسے حملوں کے خلاف فعال اقدامات کریں اور صارف کی بیداری کو بڑھا دیں۔ صارف کے ڈیٹا کی حفاظت اور ویب ایپلیکیشنز کی حفاظت کو یقینی بنانے کے لیے مضبوط دفاع کا نفاذ ضروری ہے۔
یہ نہیں بھولنا چاہیے کہ، ایک مؤثر دفاعی حکمت عملی یہ حکمت عملی صرف تکنیکی اقدامات تک محدود نہیں ہونی چاہیے۔ صارف کی آگاہی اور تعلیم کو بھی اس حکمت عملی کا ایک لازمی حصہ ہونا چاہیے۔ مشتبہ لنکس پر کلک نہ کرنا، غیر بھروسہ مند ویب سائٹس میں لاگ ان کرنے سے گریز، اور باقاعدگی سے پاس ورڈ تبدیل کرنے جیسے آسان اقدامات CSRF حملوں کو روکنے میں اہم کردار ادا کر سکتے ہیں۔
CSRF دفاعی اوزار اور طریقے
سی ایس آر ایف ویب ایپلیکیشنز کو محفوظ بنانے کے لیے کراس سائٹ ریکوسٹ فورجری (CRF) حملوں کے خلاف ایک مؤثر دفاعی حکمت عملی تیار کرنا بہت ضروری ہے۔ چونکہ یہ حملے صارف کی معلومات یا رضامندی کے بغیر غیر مجاز کارروائیاں کرنے کی کوشش کرتے ہیں، اس لیے کثیر جہتی، پرتوں والا دفاعی نقطہ نظر ضروری ہے۔ اس سیکشن میں، سی ایس آر ایف حملوں کو روکنے اور کم کرنے کے لیے استعمال کیے جانے والے مختلف ٹولز اور طریقوں کا جائزہ لیا جائے گا۔
ویب ایپلیکیشنز سی ایس آر ایف ان حملوں سے حفاظت کے لیے استعمال ہونے والے بنیادی دفاعی طریقہ کار میں سے ایک مطابقت پذیر ٹوکن پیٹرن (STP) ہے۔ اس ماڈل میں، سرور کی طرف سے تیار کردہ ایک منفرد ٹوکن ہر صارف کے سیشن کے لیے محفوظ کیا جاتا ہے اور ہر فارم جمع کرانے یا لین دین کی اہم درخواست کے ساتھ بھیجا جاتا ہے۔ سرور موصول ہونے والے ٹوکن کا سیشن میں ذخیرہ شدہ ٹوکن سے موازنہ کرکے درخواست کی قانونی حیثیت کی تصدیق کرتا ہے۔ یہ ایک مختلف سائٹ سے دھوکہ دہی کی درخواستوں کو روکتا ہے۔
دفاعی آلات
- ہم وقت ساز ٹوکن ماڈل (STP): یہ ہر فارم کے لیے منفرد ٹوکن بنا کر درخواستوں کی صداقت کی تصدیق کرتا ہے۔
- کوکیز کو ڈبل جمع کروائیں: کوکی اور درخواست پیرامیٹر دونوں میں بے ترتیب قدر بھیج کر سی ایس آر ایف حملوں کو روکتا ہے.
- SameSite کوکیز: اس بات کو یقینی بناتے ہوئے کہ کوکیز صرف اسی سائٹ سے درخواستوں کے ساتھ بھیجی جاتی ہیں۔ سی ایس آر ایف خطرے کو کم کرتا ہے.
- سی ایس آر ایف لائبریریاں اور فریم ورک: مختلف پروگرامنگ زبانوں اور فریم ورک کے لیے تیار کیا گیا، سی ایس آر ایف تیار شدہ حل پیش کرتا ہے جو تحفظ فراہم کرتا ہے۔
- درخواست ہیڈر کنٹرولز (حوالہ کنندہ/اصل): یہ غیر مجاز ذرائع کی درخواستوں کو اس ذریعہ کی جانچ کرکے روکتا ہے جہاں سے درخواست آتی ہے۔
ذیل کی میز میں، مختلف سی ایس آر ایف دفاعی طریقوں کی خصوصیات اور موازنہ کے حوالے سے تفصیلی معلومات فراہم کی گئی ہیں۔ یہ معلومات یہ فیصلہ کرنے میں مدد کر سکتی ہے کہ ہر منظر نامے کے لیے کون سا طریقہ زیادہ موزوں ہے۔
| دفاعی طریقہ | وضاحت | فوائد | نقصانات |
|---|---|---|---|
| ہم وقت ساز ٹوکن ماڈل (STP) | ہر فارم کے لیے منفرد ٹوکن تیار کرنا | اعلی سیکورٹی، وسیع پیمانے پر استعمال | سرور سائیڈ اوور ہیڈ، ٹوکن مینجمنٹ |
| کوکیز کو ڈبل بھیجیں۔ | کوکی اور درخواست کے پیرامیٹر میں ایک ہی قدر | سادہ نفاذ، بے وطن فن تعمیر کے ساتھ مطابقت رکھتا ہے۔ | ذیلی ڈومین کے مسائل، کچھ براؤزر کی عدم مطابقت |
| SameSite کوکیز | کوکیز آف سائٹ کی درخواستوں سے مسدود ہیں۔ | آسان انضمام، براؤزر کی سطح پر تحفظ | پرانے براؤزرز کے ساتھ عدم مطابقت کراس اوریجن کی ضروریات کو متاثر کر سکتی ہے۔ |
| ہیڈر چیک کی درخواست کریں۔ | ریفرر اور اوریجن ہیڈر کو چیک کرنا | سادہ توثیق، کوئی اضافی سرور بوجھ نہیں۔ | شہ سرخیوں میں ہیرا پھیری کی جا سکتی ہے، اعتبار کم ہے۔ |
سی ایس آر ایف ایک اور اہم دفاعی طریقہ Double Submit Cookies ہے۔ اس طریقہ کار میں، سرور ایک بے ترتیب قدر پیدا کرتا ہے اور اسے کوکی کے طور پر کلائنٹ کو بھیجتا ہے اور اسے فارم میں ایک پوشیدہ فیلڈ میں رکھتا ہے۔ جب کلائنٹ فارم جمع کرتا ہے، کوکی میں موجود قدر اور فارم میں موجود قدر دونوں سرور کو بھیجی جاتی ہیں۔ سرور یہ جانچ کر درخواست کی قانونی حیثیت کی تصدیق کرتا ہے کہ آیا یہ دونوں اقدار مماثل ہیں۔ یہ طریقہ خاص طور پر اسٹیٹ لیس ایپلی کیشنز کے لیے موزوں ہے اور اس کے لیے کسی اضافی سرور سائیڈ سیشن مینجمنٹ کی ضرورت نہیں ہے۔
SameSite کوکیز بھی سی ایس آر ایف یہ حملوں کے خلاف ایک موثر دفاعی طریقہ کار ہے۔ SameSite خصوصیت اس بات کو یقینی بناتی ہے کہ کوکیز صرف اسی سائٹ سے آنے والی درخواستوں میں شامل ہیں۔ اس خصوصیت کے ساتھ، ایک مختلف سائٹ سے آنے والی کوکیز سی ایس آر ایف حملے خود بخود بند ہو جاتے ہیں۔ تاہم، چونکہ SameSite کوکیز کا استعمال تمام براؤزرز کے ذریعے تعاون یافتہ نہیں ہے، اس لیے ان کو دوسرے دفاعی طریقوں کے ساتھ استعمال کرنے کی سفارش کی جاتی ہے۔
CSRF حملوں سے بچنے کے لیے نکات
CSRF (کراس سائٹ درخواست جعلسازی) ویب ایپلیکیشنز کی حفاظت کے لیے ان حملوں سے تحفظ بہت ضروری ہے۔ یہ حملے صارفین کے علم یا رضامندی کے بغیر غیر مجاز کارروائیوں کو انجام دینے کے لیے بنائے گئے ہیں۔ لہذا، ڈویلپرز اور سسٹم کے منتظمین کو اس قسم کے حملوں کے خلاف موثر دفاعی طریقہ کار کو نافذ کرنا چاہیے۔ درج ذیل سی ایس آر ایف حملوں کے خلاف کچھ بنیادی احتیاطی تدابیر اور تجاویز پیش کی گئی ہیں۔
سی ایس آر ایف حملوں سے بچانے کے مختلف طریقے ہیں۔ ان طریقوں کو عام طور پر کلائنٹ یا سرور سائیڈ پر لاگو کیا جا سکتا ہے۔ سب سے زیادہ استعمال شدہ طریقوں میں سے ایک ہے سنکرونائزر ٹوکن پیٹرن (STP) اس طریقہ کار میں، سرور صارف کے ہر سیشن کے لیے ایک منفرد ٹوکن تیار کرتا ہے، جو کہ صارف کی جانب سے کیے گئے ہر فارم جمع کرانے اور اہم لین دین کے لیے استعمال ہوتا ہے۔ سرور آنے والی درخواست میں ٹوکن کا سیشن میں ٹوکن سے موازنہ کرکے درخواست کی درستگی کی تصدیق کرتا ہے۔
مزید یہ کہ کوکی کو ڈبل جمع کروائیں۔ یہ طریقہ ایک مؤثر دفاعی طریقہ کار بھی ہے۔ اس طریقہ میں، سرور کوکی کے ذریعے ایک بے ترتیب قدر بھیجتا ہے، اور کلائنٹ سائیڈ جاوا اسکرپٹ کوڈ اس قدر کو فارم فیلڈ یا حسب ضرورت ہیڈر میں داخل کرتا ہے۔ سرور اس بات کی تصدیق کرتا ہے کہ کوکی میں موجود قدر اور فارم یا ہیڈر میں موجود قدر دونوں مماثل ہیں۔ یہ طریقہ خاص طور پر APIs اور AJAX درخواستوں کے لیے موزوں ہے۔
نیچے دی گئی جدول میں، سی ایس آر ایف حملوں کے خلاف استعمال ہونے والے کچھ بنیادی دفاعی طریقے اور ان کی خصوصیات کا موازنہ شامل ہے۔
| دفاعی طریقہ | وضاحت | فوائد | نقصانات |
|---|---|---|---|
| مطابقت پذیر ٹوکن پیٹرن (STP) | ہر سیشن کے لیے ایک منفرد ٹوکن تیار اور تصدیق کی جاتی ہے۔ | اعلی سیکورٹی، وسیع پیمانے پر استعمال کیا جاتا ہے. | ٹوکن مینجمنٹ کی ضرورت ہے، پیچیدہ ہو سکتا ہے. |
| کوکی کو ڈبل بھیجیں۔ | کوکی اور فارم/ہیڈر میں ایک ہی قدر کی توثیق۔ | آسان نفاذ، APIs کے لیے موزوں۔ | جاوا اسکرپٹ کی ضرورت ہے، کوکی سیکیورٹی پر منحصر ہے۔ |
| SameSite کوکیز | اس بات کو یقینی بناتا ہے کہ کوکیز صرف اسی سائٹ کی درخواستوں کے ساتھ بھیجی جاتی ہیں۔ | لاگو کرنے کے لئے آسان، سیکورٹی کی ایک اضافی پرت فراہم کرتا ہے. | یہ پرانے براؤزرز میں تعاون یافتہ نہیں ہوسکتا ہے اور مکمل تحفظ فراہم نہیں کرتا ہے۔ |
| ریفرر چیک | جس ذریعہ سے درخواست آئی تھی اس کی تصدیق۔ | آسان اور تیز کنٹرول کی سہولت۔ | حوالہ دینے والے کے عنوان سے ہیرا پھیری کی جا سکتی ہے اور اس کی وشوسنییتا کم ہے۔ |
نیچے، سی ایس آر ایف حملوں کے خلاف مزید ٹھوس اور قابل عمل تحفظ کی تجاویز ہیں:
- Synchronizer Token (STP) کا استعمال کریں: ہر صارف سیشن کے لیے منفرد سی ایس آر ایف ٹوکنز بنائیں اور فارم جمع کرانے پر ان کی توثیق کریں۔
- کوکی کو ڈبل بھیجنے کا طریقہ نافذ کریں: چیک کریں کہ کوکی اور فارم فیلڈز کی قدریں ملتی ہیں، خاص طور پر API اور AJAX درخواستوں میں۔
- SameSite Cookie کی خصوصیت استعمال کریں: اس بات کو یقینی بنا کر سیکیورٹی کی ایک اضافی پرت بنائیں کہ کوکیز صرف ایک ہی سائٹ کی درخواستوں کے ساتھ بھیجی جاتی ہیں۔ سخت یا لاغر اپنے اختیارات کا جائزہ لیں.
- HTTP ہیڈر درست طریقے سے سیٹ کریں: ایکس فریم کے اختیارات عنوان کے ساتھ کلک جیکنگ حملوں سے بچائیں۔
- حوالہ دینے والے کا عنوان چیک کریں: اس ذریعہ کی تصدیق کرنے کے لئے جہاں سے درخواست آئی تھی۔ حوالہ دینے والا عنوان کو چیک کریں، لیکن یاد رکھیں کہ صرف یہ طریقہ کافی نہیں ہے۔
- صارف لاگ ان کی تصدیق اور صاف کریں: صارف کے ان پٹ کو ہمیشہ درست اور صاف کریں۔ یہ ایکس ایس ایس یہ دیگر قسم کے حملوں سے بھی تحفظ فراہم کرتا ہے جیسے۔
- باقاعدگی سے سیکیورٹی ٹیسٹ کروائیں: سیکیورٹی باقاعدگی سے اپنی ویب ایپلیکیشن کی جانچ کریں اور کمزوریوں کی نشاندہی کریں اور ان کا ازالہ کریں۔
ان اقدامات کے علاوہ، آپ کے صارفین سی ایس آر ایف ممکنہ حملوں کے بارے میں بیداری پیدا کرنا بہت ضروری ہے۔ صارفین کو مشورہ دیا جانا چاہیے کہ وہ ایسے ذرائع سے لنکس پر کلک کرنے سے گریز کریں جن کو وہ پہچانتے یا ان پر بھروسہ نہیں کرتے اور ہمیشہ محفوظ ویب ایپلیکیشنز کا انتخاب کرتے ہیں۔ یہ یاد رکھنا ضروری ہے کہ سیکیورٹی ایک کثیر پرتوں والے نقطہ نظر کے ذریعے حاصل کی جاتی ہے، اور ہر اقدام مجموعی طور پر حفاظتی انداز کو مضبوط کرتا ہے۔
CSRF حملوں پر موجودہ اعدادوشمار
سی ایس آر ایف کراس سائٹ ریکوسٹ فورجی (CRF) حملے ویب ایپلیکیشنز کے لیے مسلسل خطرہ بنے ہوئے ہیں۔ موجودہ اعداد و شمار ان حملوں کے پھیلاؤ اور ممکنہ اثرات کو نمایاں کرتے ہیں۔ یہ خاص طور پر ان علاقوں کے لیے درست ہے جہاں صارف کا زیادہ تعامل ہوتا ہے، جیسے ای کامرس سائٹس، بینکنگ ایپلی کیشنز، اور سوشل میڈیا پلیٹ فارم۔ سی ایس آر ایف وہ حملوں کے لیے پرکشش اہداف ہیں۔ اس لیے، ڈویلپرز اور سیکیورٹی ماہرین کے لیے اس قسم کے حملے سے باخبر رہنا اور موثر دفاعی طریقہ کار تیار کرنا بہت ضروری ہے۔
موجودہ شماریات
- 2023 yılında web uygulama saldırılarının %15’ini سی ایس آر ایف پیدا کیا
- ای کامرس سائٹس کے لیے سی ایس آر ایف saldırılarında %20 artış gözlemlendi.
- فنانس کے شعبے میں سی ایس آر ایف kaynaklı veri ihlalleri %12 arttı.
- موبائل ایپلی کیشنز میں سی ایس آر ایف zafiyetleri son bir yılda %18 yükseldi.
- سی ایس آر ایف saldırılarının ortalama maliyeti bir önceki yıla göre %10 arttı.
- سب سے زیادہ نشانہ بنائے جانے والے شعبوں میں فنانس، ریٹیل اور ہیلتھ کیئر شامل ہیں۔
نیچے دی گئی جدول میں مختلف شعبوں کو دکھایا گیا ہے۔ سی ایس آر ایف یہ حملوں کی تقسیم اور اثرات کا خلاصہ کرتا ہے۔ یہ ڈیٹا خطرے کی تشخیص اور حفاظتی اقدامات کو نافذ کرتے وقت غور کرنے کے لیے اہم معلومات فراہم کرتا ہے۔
| سیکٹر | حملے کی شرح (%) | اوسط لاگت (TL) | ڈیٹا کی خلاف ورزیوں کی تعداد |
|---|---|---|---|
| فنانس | 25 | 500,000 | 15 |
| ای کامرس | 20 | 350,000 | 12 |
| صحت | 15 | 250,000 | 8 |
| سوشل میڈیا | 10 | 150,000 | 5 |
سی ایس آر ایف میلویئر حملوں کے اثرات کو کم کرنے کے لیے، ڈویلپرز اور سسٹم ایڈمنسٹریٹرز کو باقاعدگی سے سیکیورٹی ٹیسٹنگ کرنا چاہیے، تازہ ترین سیکیورٹی پیچ کا اطلاق کرنا چاہیے، اور اس طرح کے حملوں کے بارے میں صارف کی بیداری کو بڑھانا چاہیے۔ سنکرونائزر ٹوکنز اور کوکیز کو ڈبل جمع کروائیں۔ دفاعی میکانزم کا درست اطلاق جیسے کہ، سی ایس آر ایف آپ کے حملوں کی کامیابی کی شرح کو نمایاں طور پر کم کر سکتا ہے۔
سیکورٹی محققین کی طرف سے شائع کردہ رپورٹس، سی ایس آر ایف حملے مسلسل تیار ہو رہے ہیں اور نئے تغیرات ابھر رہے ہیں۔ لہذا، سیکورٹی کی حکمت عملیوں کو مسلسل اپ ڈیٹ اور بہتر کیا جانا چاہئے. حفاظتی کمزوریوں کی نشاندہی اور تدارک کے لیے ایک فعال انداز اپنانا، سی ایس آر ایف حملوں کے ممکنہ اثرات کو کم کرے گا۔
سی ایس آر ایف اور ایکشن پلان کی اہمیت
CSRF (کراس سائٹ درخواست جعلسازی) حملوں سے ویب ایپلیکیشنز کی سلامتی کو شدید خطرہ لاحق ہے۔ یہ حملے ایک مجاز صارف کو نادانستہ طور پر بدنیتی پر مبنی اعمال انجام دینے کا سبب بن سکتے ہیں۔ مثال کے طور پر، حملہ آور صارف کا پاس ورڈ تبدیل کر سکتا ہے، فنڈز کی منتقلی کر سکتا ہے، یا حساس ڈیٹا میں ہیرا پھیری کر سکتا ہے۔ لہذا، سی ایس آر ایف سائبر حملوں کے خلاف ایک فعال انداز اختیار کرنا اور ایک موثر ایکشن پلان بنانا بہت ضروری ہے۔
| رسک لیول | ممکنہ اثرات | احتیاطی تدابیر |
|---|---|---|
| اعلی | صارف کے اکاؤنٹ میں سمجھوتہ، ڈیٹا کی خلاف ورزی، مالی نقصانات | سی ایس آر ایف ٹوکنز، SameSite کوکیز، دو عنصر کی توثیق |
| درمیانی | پروفائل میں ناپسندیدہ تبدیلیاں، غیر مجاز مواد کی اشاعت | ریفرر کنٹرول، صارف کی بات چیت کی ضرورت کی کارروائیوں |
| کم | ڈیٹا کی معمولی ہیرا پھیری، خلل ڈالنے والی کارروائیاں | سادہ تصدیقی طریقہ کار، شرح کو محدود کرنا |
| غیر یقینی | نظام کی کمزوریوں کی وجہ سے اثرات، غیر متوقع نتائج | مسلسل سیکورٹی اسکینز، کوڈ کے جائزے |
ایکشن پلان، آپ کی ویب ایپلیکیشن سی ایس آر ایف اس میں حملوں کے خلاف لچک بڑھانے کے لیے اٹھائے جانے والے اقدامات شامل ہیں۔ یہ منصوبہ مختلف مراحل کا احاطہ کرتا ہے جیسے خطرے کی تشخیص، حفاظتی اقدامات پر عمل درآمد، جانچ کے عمل اور مسلسل نگرانی۔ یہ نہیں بھولنا چاہیے کہ، سی ایس آر ایفکے خلاف اٹھائے جانے والے اقدامات صرف تکنیکی حل تک محدود نہیں ہونے چاہئیں بلکہ اس میں صارف کی آگاہی کی تربیت بھی شامل ہونی چاہیے۔
ایکشن پلان
- خطرے کی تشخیص: آپ کی ویب ایپلیکیشن میں صلاحیت سی ایس آر ایف کمزوریوں کی شناخت کریں.
- سی ایس آر ایف ٹوکن کی درخواست: تمام اہم فارموں اور API کی درخواستوں کے لیے منفرد سی ایس آر ایف ٹوکن استعمال کریں.
- SameSite کوکیز: اپنی کوکیز کو SameSite انتساب کے ساتھ محفوظ کریں تاکہ انہیں کراس سائٹ درخواستوں میں بھیجے جانے سے روکا جا سکے۔
- حوالہ چیک: آنے والی درخواستوں کے ذریعہ کی تصدیق کریں اور مشکوک درخواستوں کو بلاک کریں۔
- صارف کی آگاہی: اپنے صارفین کو فشنگ اور دیگر سوشل انجینئرنگ حملوں کے بارے میں تعلیم دیں۔
- سیکورٹی ٹیسٹ: دخول کے ٹیسٹ اور سیکیورٹی اسکین باقاعدگی سے انجام دے کر کمزوریوں کی نشاندہی کریں۔
- مسلسل نگرانی: آپ کی درخواست میں غیر معمولی سرگرمیوں کی نگرانی کرنا سی ایس آر ایف حملوں کا پتہ لگانا.
ایک کامیاب سی ایس آر ایف ایک دفاعی حکمت عملی کے لیے مسلسل چوکسی اور اپ ڈیٹ کی ضرورت ہوتی ہے۔ چونکہ ویب ٹیکنالوجیز اور حملے کے طریقے مسلسل بدل رہے ہیں، آپ کو اپنے حفاظتی اقدامات کا باقاعدگی سے جائزہ لینا اور اپ ڈیٹ کرنا چاہیے۔ اس کے علاوہ، آپ کی ترقی کی ٹیم سی ایس آر ایف اور ویب کے دیگر خطرات آپ کی درخواست کی حفاظت کو یقینی بنانے کے لیے اٹھائے جانے والے اہم ترین اقدامات میں سے ایک ہے۔ محفوظ ویب ماحول کے لیے، سی ایس آر ایفاس کے خلاف آگاہی اور تیار رہنا ضروری ہے۔
CSRF سے نمٹنے کے سب سے زیادہ مؤثر طریقے
سی ایس آر ایف کراس سائٹ ریکوسٹ فورجی (CRF) حملے ویب ایپلیکیشنز کی سلامتی کے لیے ایک سنگین خطرہ ہیں۔ یہ حملے صارفین کو ان کے علم یا رضامندی کے بغیر غیر مجاز کارروائیاں کرنے کی اجازت دے سکتے ہیں۔ سی ایس آر ایف حملوں سے نمٹنے کے کئی موثر طریقے ہیں، اور ان طریقوں کا درست نفاذ ویب ایپلیکیشنز کی سیکیورٹی میں نمایاں اضافہ کر سکتا ہے۔ اس سیکشن میں، سی ایس آر ایف ہم ان سب سے موثر طریقوں اور حکمت عملیوں کا جائزہ لیں گے جو حملوں کے خلاف اختیار کیے جا سکتے ہیں۔
| طریقہ | وضاحت | عمل درآمد میں دشواری |
|---|---|---|
| مطابقت پذیر ٹوکن پیٹرن (STP) | ہر صارف کے سیشن کے لیے ایک منفرد ٹوکن تیار کیا جاتا ہے اور یہ ٹوکن ہر فارم جمع کرانے پر چیک کیا جاتا ہے۔ | درمیانی |
| کوکی کو ڈبل جمع کروائیں۔ | کوکی اور فارم فیلڈ میں ایک جیسی قدر استعمال کرتا ہے۔ سرور تصدیق کرتا ہے کہ اقدار مماثل ہیں۔ | آسان |
| SameSite Cookie انتساب | اس بات کو یقینی بناتا ہے کہ کوکیز صرف ایک ہی سائٹ کی درخواستوں کے ساتھ بھیجی جاتی ہیں، لہذا کراس سائٹ کی درخواستوں کے ساتھ کوئی کوکیز نہیں بھیجی جاتی ہیں۔ | آسان |
| ریفرر ہیڈر کنٹرول | یہ غیر مجاز ذرائع کی درخواستوں کو اس ذریعہ کی جانچ کرکے روکتا ہے جہاں سے درخواست آتی ہے۔ | درمیانی |
سی ایس آر ایف ان حملوں سے حفاظت کے لیے سب سے عام اور مؤثر طریقوں میں سے ایک Synchronized Token Pattern (STP) کا استعمال ہے۔ STP میں ہر صارف کے سیشن کے لیے ایک منفرد ٹوکن تیار کرنا اور ہر فارم جمع کرانے پر اس کی توثیق کرنا شامل ہے۔ یہ ٹوکن عام طور پر ایک پوشیدہ فارم فیلڈ یا HTTP ہیڈر میں بھیجا جاتا ہے اور سرور کی طرف سے تصدیق شدہ ہے۔ یہ حملہ آوروں کو بغیر کسی درست ٹوکن کے غیر مجاز درخواستیں بھیجنے سے روکتا ہے۔
مؤثر طریقے
- مطابقت پذیر ٹوکن پیٹرن (STP) کو نافذ کرنا
- ڈبل جمع کرائیں کوکی کا طریقہ استعمال کرنا
- SameSite Cookie کی خصوصیت کو فعال کرنا
- درخواستوں کے ماخذ کی جانچ کرنا (ریفرر ہیڈر)
- احتیاط سے صارف کے ان پٹ اور آؤٹ پٹ کی تصدیق کریں۔
- سیکیورٹی کی اضافی پرتیں شامل کرنا (جیسے کیپچا)
ایک اور موثر طریقہ ڈبل جمع کرائیں کوکی تکنیک ہے۔ اس تکنیک میں، سرور کوکی میں ایک بے ترتیب قدر سیٹ کرتا ہے اور فارم فیلڈ میں وہی قدر استعمال کرتا ہے۔ جب فارم جمع کرایا جاتا ہے، سرور یہ دیکھنے کے لیے چیک کرتا ہے کہ آیا کوکی اور فارم فیلڈ کی قدریں مماثل ہیں۔ اگر اقدار مماثل نہیں ہیں، تو درخواست مسترد کر دی جاتی ہے۔ یہ طریقہ سی ایس آر ایف یہ کوکی حملوں کو روکنے میں بہت مؤثر ہے کیونکہ حملہ آور کوکی کی قدر کو پڑھ یا تبدیل نہیں کر سکتے ہیں۔
SameSite کوکی کی خصوصیت سی ایس آر ایف یہ حملوں کے خلاف ایک اہم دفاعی طریقہ کار ہے۔ SameSite وصف اس بات کو یقینی بناتا ہے کہ کوکیز صرف ایک ہی سائٹ کی درخواستوں کے ساتھ بھیجی جاتی ہیں۔ یہ کوکیز کو خود بخود کراس سائٹ کی درخواستوں میں بھیجے جانے سے روکتا ہے، اس طرح روکتا ہے۔ سی ایس آر ایف یہ خصوصیت کامیاب حملوں کے امکانات کو کم کرتی ہے۔ جدید ویب براؤزرز میں اس خصوصیت کو فعال کرنا نسبتاً آسان ہے اور ویب ایپلیکیشنز کی سیکیورٹی کو بہتر بنانے کے لیے ایک اہم قدم ہے۔
اکثر پوچھے گئے سوالات
CSRF حملے کی صورت میں، میرے صارف اکاؤنٹ سے سمجھوتہ کیے بغیر کیا اقدامات کیے جا سکتے ہیں؟
CSRF حملوں کا مقصد عام طور پر صارف کی جانب سے غیر مجاز کارروائیاں کرنا ہوتا ہے جب وہ لاگ ان ہوتے ہیں، بجائے اس کے کہ ان کی اسناد چوری کریں۔ مثال کے طور پر، وہ اپنا پاس ورڈ تبدیل کرنے، اپنا ای میل پتہ اپ ڈیٹ کرنے، فنڈز کی منتقلی، یا فورم/سوشل میڈیا پر پوسٹ کرنے کی کوشش کر سکتے ہیں۔ حملہ آور وہ حرکتیں کرتا ہے جو صارف کو پہلے سے ہی ان کے علم کے بغیر انجام دینے کا اختیار ہے۔
سی ایس آر ایف حملوں کے کامیاب ہونے کے لیے صارف کو کن شرائط کو پورا کرنا چاہیے؟
CSRF حملے کے کامیاب ہونے کے لیے، صارف کو ٹارگٹ ویب سائٹ میں لاگ ان ہونا چاہیے، اور حملہ آور کو اس قابل ہونا چاہیے کہ وہ اس سائٹ سے ملتی جلتی درخواست بھیج سکے جس پر صارف لاگ ان ہے۔
CSRF ٹوکن بالکل کس طرح کام کرتے ہیں اور وہ اتنے موثر دفاعی طریقہ کار کیوں ہیں؟
CSRF ٹوکنز ہر صارف سیشن کے لیے ایک منفرد اور اندازہ لگانا مشکل قدر پیدا کرتے ہیں۔ یہ ٹوکن سرور کے ذریعہ تیار کیا جاتا ہے اور ایک فارم یا لنک کے ذریعے کلائنٹ کو بھیجا جاتا ہے۔ جب کلائنٹ سرور کو درخواست جمع کرتا ہے، تو اس میں یہ ٹوکن شامل ہوتا ہے۔ سرور آنے والی درخواست کے ٹوکن کا متوقع ٹوکن سے موازنہ کرتا ہے اور اگر کوئی مماثلت نہیں ہے تو درخواست کو مسترد کر دیتا ہے۔ اس سے حملہ آور کے لیے خود ساختہ درخواست کے ساتھ کسی صارف کی نقالی کرنا مشکل ہو جاتا ہے، کیونکہ ان کے پاس درست ٹوکن نہیں ہوتا۔
SameSite کوکیز CSRF حملوں سے کیسے تحفظ فراہم کرتی ہیں اور ان کی کیا حدود ہیں؟
SameSite کوکیز صرف اسی سائٹ سے آنے والی درخواستوں کے ساتھ کوکی بھیجنے کی اجازت دے کر CSRF حملوں کو کم کرتی ہیں۔ تین مختلف اقدار ہیں: سخت (کوکی صرف ایک ہی سائٹ کے اندر درخواستوں کے ساتھ بھیجی جاتی ہے)، Lax (کوکی کو سائٹ پر اور محفوظ (HTTPS) دونوں آف سائٹ درخواستوں کے ساتھ بھیجا جاتا ہے)، اور کوئی نہیں (کوکی ہر درخواست کے ساتھ بھیجی جاتی ہے)۔ اگرچہ 'سخت' مضبوط ترین تحفظ فراہم کرتا ہے، لیکن یہ بعض صورتوں میں صارف کے تجربے کو متاثر کر سکتا ہے۔ 'کوئی نہیں' کو 'محفوظ' کے ساتھ استعمال کیا جانا چاہئے اور سب سے کمزور تحفظ فراہم کرتا ہے۔ حدود میں کچھ پرانے براؤزرز کی طرف سے تعاون نہ کرنا شامل ہے، اور درخواست کی ضروریات کے مطابق مختلف SameSite اقدار کو منتخب کرنے کی ضرورت ہو سکتی ہے۔
ڈویلپرز موجودہ ویب ایپلیکیشنز میں CSRF دفاع کو کیسے نافذ یا بہتر کر سکتے ہیں؟
ڈیولپرز کو پہلے CSRF ٹوکنز کو لاگو کرنا چاہیے اور انہیں ہر فارم اور AJAX کی درخواست میں شامل کرنا چاہیے۔ انہیں SameSite کوکیز کو بھی مناسب طریقے سے ترتیب دینا چاہیے ('سخت' یا 'Lax' کی عام طور پر سفارش کی جاتی ہے)۔ مزید برآں، اضافی دفاعی طریقہ کار جیسے کہ ڈبل جمع کوکیز کا استعمال کیا جا سکتا ہے۔ باقاعدگی سے سیکیورٹی ٹیسٹنگ اور ویب ایپلیکیشن فائر وال (WAF) کا استعمال بھی CSRF حملوں سے بچا سکتا ہے۔
CSRF حملے کا پتہ چلنے پر فوری طور پر کیا اقدامات کرنے ہیں؟
جب کسی CSRF حملے کا پتہ چلتا ہے، تو سب سے پہلے متاثرہ صارفین اور ممکنہ طور پر سمجھوتہ کرنے والے عمل کی شناخت کرنا ضروری ہے۔ صارفین کو مطلع کرنا اور انہیں اپنے پاس ورڈ دوبارہ ترتیب دینے کا مشورہ دینا ایک اچھا عمل ہے۔ نظام کی کمزوریوں کو پیچ کرنا اور حملے کے ویکٹر کو بند کرنا اہم ہے۔ مزید برآں، حملے کے ماخذ کا تجزیہ کرنے اور مستقبل میں ہونے والے حملوں کو روکنے کے لیے نوشتہ جات کا تجزیہ ضروری ہے۔
کیا CSRF کے خلاف دفاعی حکمت عملی سنگل پیج ایپلی کیشنز (SPA) اور روایتی ملٹی پیج ایپلی کیشنز (MPA) کے لیے مختلف ہے؟ اگر ایسا ہے تو کیوں؟
ہاں، SPAs اور MPAs کے لیے CSRF کی دفاعی حکمت عملی مختلف ہوتی ہے۔ MPAs میں، CSRF ٹوکنز سرور کی طرف تیار کیے جاتے ہیں اور فارم میں شامل کیے جاتے ہیں۔ چونکہ SPAs عام طور پر API کال کرتے ہیں، اس لیے ٹوکنز کو HTTP ہیڈر میں شامل کیا جاتا ہے یا ڈبل جمع کوکیز کا استعمال کیا جاتا ہے۔ SPAs میں زیادہ کلائنٹ سائیڈ JavaScript کوڈ کی موجودگی حملے کی سطح کو بڑھا سکتی ہے، اس لیے احتیاط ضروری ہے۔ مزید برآں، SPAs کے لیے CORS (کراس اوریجن ریسورس شیئرنگ) کنفیگریشن بھی اہم ہے۔
ویب ایپلیکیشن سیکیورٹی کے تناظر میں، سی ایس آر ایف کا دیگر عام قسم کے حملوں (XSS، SQL انجیکشن، وغیرہ) سے کیا تعلق ہے؟ دفاعی حکمت عملی کو کیسے مربوط کیا جا سکتا ہے؟
CSRF دیگر عام حملوں کی اقسام، جیسے کہ XSS (کراس سائٹ اسکرپٹ) اور SQL انجیکشن سے مختلف مقصد پورا کرتا ہے، لیکن یہ اکثر ایک دوسرے کے ساتھ مل کر استعمال ہوتے ہیں۔ مثال کے طور پر، XSS حملے کا استعمال کرتے ہوئے CSRF حملے کو متحرک کیا جا سکتا ہے۔ لہٰذا، پرتوں والا حفاظتی طریقہ اپنانا ضروری ہے۔ مختلف دفاعی میکانزم کو ایک ساتھ استعمال کیا جانا چاہیے، جیسے کہ ان پٹ ڈیٹا کو صاف کرنا اور XSS کے خلاف آؤٹ پٹ ڈیٹا کو انکوڈنگ کرنا، SQL انجیکشن کے خلاف پیرامیٹرائزڈ سوالات کا استعمال، اور CSRF کے خلاف CSRF ٹوکنز کا اطلاق کرنا۔ کمزوریوں کے لیے باقاعدگی سے اسکین کرنا اور سیکیورٹی کے بارے میں آگاہی پیدا کرنا بھی ایک مربوط سیکیورٹی حکمت عملی کا حصہ ہے۔
مزید معلومات: OWASP ٹاپ ٹین
ہمارے انعامات
Türkçe 
English 
简体中文 
हिन्दी 
Español 
Français 
العربية 
বাংলা 
Русский 
Português 
اردو 
Deutsch 
日本語 
தமிழ் 
मराठी 
Tiếng Việt 
Italiano 
Azərbaycan dili 
Nederlands 
فارسی 
Bahasa Melayu 
Basa Jawa 
తెలుగు 
한국어 
ไทย 
ગુજરાતી 
Polski 
Українська 
ಕನ್ನಡ 
ဗမာစာ 
Română 
മലയാളം 
ਪੰਜਾਬੀ 
Bahasa Indonesia 
سنڌي 
አማርኛ 
Tagalog 
Magyar 
O‘zbekcha 
Български 
Ελληνικά 
Suomi 
Slovenčina 
Српски језик 
Afrikaans 
Čeština 
Беларуская мова 
Bosanski 
Dansk 
پښتو
جواب دیں