फ्लास्कमध्ये CSRF संरक्षण

ब्लॉग

हा लेख कसा रोखायचा ते पाहतो CSRF फ्लास्क मध्ये हल्ले. वाटेत, आम्ही सीएसआरएफ म्हणजे काय, सीएसआरएफ हल्ल्याचे उदाहरण आणि फ्लास्क-डब्ल्यूटीएफ द्वारे सीएसआरएफपासून संरक्षण कसे करावे ते पाहू.



CSRF म्हणजे काय?

सीएसआरएफ, ज्याचा अर्थ क्रॉस-साइट रिक्वेस्ट फोर्जरी आहे, हा वेब againstप्लिकेशनवर हल्ला आहे ज्यामध्ये हल्लेखोर प्रमाणीकृत वापरकर्त्याला दुर्भावनायुक्त कृती करण्यासाठी फसवण्याचा प्रयत्न करतो. बहुतेक CSRF हल्ले कुकीज-आधारित ऑथ वापरणारे वेब अॅप्लिकेशन लक्ष्य करतात कारण वेब ब्राउझरमध्ये प्रत्येक विनंतीसह विशिष्ट डोमेनशी संबंधित सर्व कुकीज समाविष्ट असतात. म्हणून जेव्हा त्याच ब्राउझरवरून दुर्भावनापूर्ण विनंती केली जाते, तेव्हा आक्रमणकर्ता सहजपणे संग्रहित कुकीजचा वापर करू शकतो.

असे हल्ले अनेकदा वापरकर्त्याला बटण क्लिक करून किंवा फॉर्म सबमिट करून फसवले जातात. उदाहरणार्थ, तुमचे बँकिंग वेब अॅप CSRF हल्ल्यांसाठी असुरक्षित आहे असे म्हणा. हल्लेखोर तुमच्या बँकिंग वेब साईटचा क्लोन तयार करू शकतो ज्यात खालील फॉर्म आहे:



त्यानंतर हल्लेखोर तुम्हाला एक ईमेल पाठवतो जो तुमच्या बँकेकडून आलेला दिसतो - cemtralbenk.com ऐवजी Centralbank.com - हे सूचित करते की आपले बँक स्टेटमेंट पाहण्यासाठी तयार आहे. ईमेलमधील दुव्यावर क्लिक केल्यानंतर, आपल्याला फॉर्मसह दुर्भावनापूर्ण वेब साइटवर नेले जाईल. तुम्ही तुमचे स्टेटमेंट तपासण्यासाठी बटणावर क्लिक करा. ब्राउझर नंतर पोस्ट विनंतीसह स्वयंचलित प्रमाणीकरण कुकी पाठवेल. आपण प्रमाणीकृत असल्याने, हल्लेखोर आपल्याला करण्याची परवानगी असलेल्या कोणत्याही कृती करण्यास सक्षम असेल. या प्रकरणात, $ 100 तुमच्या खात्यातून खाते क्रमांक 999 मध्ये हस्तांतरित केले जाते.

आपल्याला दररोज प्राप्त होणाऱ्या सर्व स्पॅम ईमेलचा विचार करा. त्यापैकी किती सीएसआरएफ हल्ले लपवतात?



व्ह्यू रिच टेक्स्ट एडिटर

testdriven.io

फ्लास्कमध्ये CSRF संरक्षण

या लेखात, आम्ही CSRF काय आहे आणि फ्लास्कमध्ये CSRF हल्ला कसा रोखायचा ते पाहू. जगभरातील तज्ञांद्वारे वापरल्या जाणार्या काही विशेष नाहीत. या लेखात सर्वांची उत्तरे दिली आहेत.