Razlike

Slijede razlike između dviju inačica stranice.

--- racfor_wiki:cross_site_request_forgery_napadi [2021/01/17 21:13]
sbrkic [Osnove HTTP kolačića (engl. cookies)]
+++ racfor_wiki:cross_site_request_forgery_napadi [2024/12/05 12:24] (trenutno)
@@ Redak 101: / Redak 101: @@
 ==== Ideja i tijek CSRF napada ====
-CSRF (engl. Cross-Site Request Forgery) napadi temelje se na korištenju kolačića za autentifikaciju korisnika, te na načinu na koji se HTML forme s klijenta šalju poslužitelju.
+CSRF (engl. Cross-Site Request Forgery) napadi temelje se na korištenju kolačića za autentifikaciju korisnika, te na načinu na koji se HTML forme s klijenta šalju poslužitelju [2].
 Zamislimo da neka banka ima mrežnu stranicu na kojoj svojim korisnicima nudi opciju uplate novca na neki drugi račun, primjerice za plaćanje režija. Jednostavan primjer HTML forme za ostvarivanje navedene funkcionalnosti prikazan je u  nastavku.
@@ Redak 194: / Redak 194: @@
 ==== Prevencija CSRF napada ====
-Postoje dva osnovna načina zaštite od CSRF napada, a oba se temelje na nasumično generiranoj tajnoj vrijednosti koju poslužitelj šalje legitimnom klijentu, a klijent primljenu vrijednost prenosi poslužitelju kao dodatni parametar HTML forme. Poslužitelj zatim provjerava jednakost poslane i primljene tajne vrijednosti. Taj se tajni ključ naziva CSRF token ili sinkronizacijski token.
+Postoje dva osnovna načina zaštite od CSRF napada [3], a oba se temelje na nasumično generiranoj tajnoj vrijednosti koju poslužitelj šalje legitimnom klijentu, a klijent primljenu vrijednost prenosi poslužitelju kao dodatni parametar HTML forme. Poslužitelj zatim provjerava jednakost poslane i primljene tajne vrijednosti. Taj se tajni ključ naziva CSRF token ili sinkronizacijski token.
 Ideja je da napadač ne moze izvršiti CSRF napad jer ne može pogoditi tajnu vrijednost koju je poslužitelj poslao legitimnom klijentu, ako je vrijednost uopće poslana.

racfor_wiki/cross_site_request_forgery_napadi.1610918036.txt.gz · Zadnja izmjena: 2024/12/05 12:23 (vanjsko uređivanje)