CSRF हमलों

यहाँ CSRF हमलों पर एक विस्तृत लेख है, जो शुरुआती लोगों के लिए है, और जो कि MediaWiki सिंटैक्स का उपयोग करके लिखा गया है और वेब सुरक्षा श्रेणी में वर्गीकृत है:

CSRF हमला क्या है?

CSRF, जिसका अर्थ है क्रॉस-साइट रिक्वेस्ट फोर्जरी (Cross-Site Request Forgery), एक प्रकार का वेब सुरक्षा भेद्यता है। यह हमलावर को एक वैध उपयोगकर्ता के नाम से अनधिकृत क्रियाएं करने की अनुमति देता है। सरल शब्दों में, CSRF हमलावर उपयोगकर्ता को यह विश्वास दिलाता है कि वे किसी वैध वेबसाइट के साथ इंटरैक्ट कर रहे हैं, जबकि वास्तव में वे एक ऐसी वेबसाइट के साथ इंटरैक्ट कर रहे हैं जिसे हमलावर ने नियंत्रित किया है। यह हमला उस तथ्य का लाभ उठाता है कि वेब ब्राउज़र स्वचालित रूप से उपयोगकर्ता के प्रमाणीकरण क्रेडेंशियल्स (जैसे कुकीज़) को उसी डोमेन पर किए गए सभी अनुरोधों के साथ भेजते हैं।

एक उदाहरण से समझते हैं: मान लीजिए कि आपने अपने बैंक की वेबसाइट पर लॉग इन किया है। उसी ब्राउज़र में खुले एक अन्य टैब में, आप एक दुर्भावनापूर्ण वेबसाइट पर जाते हैं। इस दुर्भावनापूर्ण वेबसाइट में एक कोड हो सकता है जो आपके बैंक की वेबसाइट पर एक अनुरोध भेजता है, उदाहरण के लिए, आपके खाते से पैसे स्थानांतरित करने का अनुरोध। आपके ब्राउज़र, आपके बैंक की वेबसाइट पर प्रमाणीकरण क्रेडेंशियल्स के साथ, इस अनुरोध को स्वचालित रूप से भेज देगा, जिससे हमलावर आपके खाते से पैसे स्थानांतरित कर सकता है।

CSRF कैसे काम करता है?

CSRF हमला आमतौर पर निम्नलिखित चरणों में काम करता है:

1. **उपयोगकर्ता प्रमाणीकरण:** उपयोगकर्ता एक वेबसाइट पर लॉग इन करता है। 2. **सत्र कुकी प्राप्त करना:** ब्राउज़र उपयोगकर्ता के प्रमाणीकरण क्रेडेंशियल्स को एक सत्र कुकी के रूप में संग्रहीत करता है। 3. **दुर्भावनापूर्ण वेबसाइट:** हमलावर एक दुर्भावनापूर्ण वेबसाइट बनाता है। 4. **अनधिकृत अनुरोध:** दुर्भावनापूर्ण वेबसाइट उपयोगकर्ता के ब्राउज़र को पृष्ठभूमि में लक्षित वेबसाइट पर एक अनधिकृत अनुरोध भेजने के लिए प्रेरित करती है। यह अनुरोध आमतौर पर एक छिपे हुए HTML फॉर्म के माध्यम से या जावास्क्रिप्ट का उपयोग करके किया जाता है। 5. **अनुरोध निष्पादन:** लक्षित वेबसाइट अनुरोध को संसाधित करती है और उपयोगकर्ता की ओर से क्रिया करती है, क्योंकि अनुरोध में वैध सत्र कुकी शामिल होती है।

CSRF हमलों के प्रकार

CSRF हमलों को मुख्य रूप से तीन प्रकारों में वर्गीकृत किया जा सकता है:

• **गेट आधारित CSRF:** यह सबसे आम प्रकार का CSRF हमला है। इसमें हमलावर एक लिंक का उपयोग करता है जो लक्षित वेबसाइट पर एक GET अनुरोध भेजता है। उदाहरण के लिए, एक लिंक जो "http://example.com/transfer.php?amount=100&account=attacker" जैसा दिखता है।
• **पोस्ट आधारित CSRF:** इस प्रकार के हमले में, हमलावर एक HTML फॉर्म का उपयोग करता है जो लक्षित वेबसाइट पर एक POST अनुरोध भेजता है। फॉर्म में छिपे हुए फ़ील्ड हो सकते हैं जो अनधिकृत डेटा को लक्षित वेबसाइट पर भेजते हैं।
• **डोमेन-आधारित CSRF:** यह हमला तब होता है जब हमलावर एक डोमेन का नियंत्रण प्राप्त कर लेता है जिस पर उपयोगकर्ता पहले से ही लॉग इन है।

CSRF हमलों से बचाव

CSRF हमलों से बचाव के लिए कई तकनीकें उपलब्ध हैं। कुछ सबसे प्रभावी तकनीकें निम्नलिखित हैं:

CSRF हमलों से बचाव की तकनीकें

!तकनीक

विवरण

CSRF टोकन

प्रत्येक अनुरोध के साथ एक अद्वितीय, अप्रत्याशित टोकन शामिल किया जाता है। सर्वर इस टोकन को मान्य करता है ताकि यह सुनिश्चित हो सके कि अनुरोध वैध है। यह CSRF हमलों से बचाव का सबसे प्रभावी तरीका है।

समान साइट कुकीज़

ये कुकीज़ ब्राउज़र को यह नियंत्रित करने की अनुमति देती हैं कि उन्हें किन वेबसाइटों पर भेजा जाना चाहिए। यह CSRF हमलों के जोखिम को कम करता है।

हेडर सत्यापन

सर्वर अनुरोध हेडर (जैसे Referer हेडर) को सत्यापित करता है ताकि यह सुनिश्चित हो सके कि अनुरोध एक वैध स्रोत से आ रहा है।

डबल सबमिट कुकीज़

सर्वर एक कुकी सेट करता है और अनुरोध में एक अतिरिक्त मान शामिल करता है। सर्वर कुकी और अनुरोध मान की तुलना करता है ताकि यह सुनिश्चित हो सके कि अनुरोध वैध है।

उपयोगकर्ता इंटरैक्शन

संवेदनशील क्रियाओं के लिए उपयोगकर्ता से अतिरिक्त पुष्टि की आवश्यकता होती है, जैसे कि पासवर्ड फिर से दर्ज करना।

CSRF टोकन का उपयोग कैसे करें?

CSRF टोकन CSRF हमलों से बचाव का सबसे प्रभावी तरीका है। CSRF टोकन का उपयोग करने के लिए, आपको निम्नलिखित चरणों का पालन करना होगा:

1. **टोकन उत्पन्न करें:** सर्वर को प्रत्येक उपयोगकर्ता सत्र के लिए एक अद्वितीय, अप्रत्याशित टोकन उत्पन्न करना चाहिए। 2. **टोकन शामिल करें:** सर्वर को प्रत्येक HTML फॉर्म और AJAX अनुरोध में एक छिपे हुए फ़ील्ड के रूप में टोकन शामिल करना चाहिए। 3. **टोकन मान्य करें:** सर्वर को प्रत्येक अनुरोध प्राप्त होने पर टोकन को मान्य करना चाहिए। यदि टोकन अमान्य है, तो अनुरोध को अस्वीकार कर दिया जाना चाहिए।

उदाहरण के लिए, एक HTML फॉर्म में CSRF टोकन इस प्रकार शामिल किया जा सकता है:

```html <form action="/transfer" method="post">

 <input type="hidden" name="csrf_token" value="Template:Csrf token">
 <input type="text" name="amount" value="100">
 <input type="submit" value="स्थानांतरण">

</form> ```

समान साइट कुकीज़ क्या हैं?

समान साइट कुकीज़ एक ब्राउज़र सुरक्षा तंत्र है जो CSRF हमलों के जोखिम को कम करने में मदद करता है। समान साइट कुकीज़ ब्राउज़र को यह नियंत्रित करने की अनुमति देती हैं कि कुकीज़ को किन वेबसाइटों पर भेजा जाना चाहिए। तीन संभावित मान हैं:

• **Strict:** कुकीज़ केवल उसी साइट पर भेजी जाती हैं।
• **Lax:** कुकीज़ टॉप-लेवल नेविगेशन के दौरान भेजी जाती हैं, लेकिन क्रॉस-साइट अनुरोधों के दौरान नहीं।
• **None:** कुकीज़ सभी साइटों पर भेजी जाती हैं।

CSRF हमलों से बचाव के लिए, समान साइट कुकीज़ को "Strict" या "Lax" पर सेट करना सबसे अच्छा है।

हेडर सत्यापन कैसे काम करता है?

हेडर सत्यापन एक अतिरिक्त सुरक्षा परत प्रदान कर सकता है। सर्वर अनुरोध हेडर (जैसे Referer हेडर) को सत्यापित करता है ताकि यह सुनिश्चित हो सके कि अनुरोध एक वैध स्रोत से आ रहा है। हालांकि, हेडर सत्यापन पूरी तरह से विश्वसनीय नहीं है, क्योंकि हेडर को क्लाइंट द्वारा स्पूफ किया जा सकता है।

CSRF हमलों के वास्तविक जीवन के उदाहरण

• **2010 में फेसबुक CSRF हमला:** हमलावरों ने फेसबुक उपयोगकर्ताओं को एक दुर्भावनापूर्ण छवि पर क्लिक करने के लिए प्रेरित किया, जिसके परिणामस्वरूप उनके खातों से अनधिकृत पोस्ट किए गए।
• **2011 में ट्विटर CSRF हमला:** हमलावरों ने ट्विटर उपयोगकर्ताओं को एक दुर्भावनापूर्ण लिंक पर क्लिक करने के लिए प्रेरित किया, जिसके परिणामस्वरूप उनके खातों से अनधिकृत ट्वीट किए गए।
• **2014 में बैंक ऑफ अमेरिका CSRF हमला:** हमलावरों ने बैंक ऑफ अमेरिका के ग्राहकों को एक दुर्भावनापूर्ण ईमेल पर क्लिक करने के लिए प्रेरित किया, जिसके परिणामस्वरूप उनके खातों से अनधिकृत धन स्थानांतरित किया गया।

बाइनरी ऑप्शन और CSRF

बाइनरी ऑप्शन प्लेटफ़ॉर्म भी CSRF हमलों के प्रति संवेदनशील हो सकते हैं। यदि प्लेटफ़ॉर्म पर्याप्त सुरक्षा उपाय लागू नहीं करता है, तो हमलावर उपयोगकर्ताओं के खातों से अनधिकृत ट्रेड कर सकते हैं। बाइनरी ऑप्शन प्लेटफ़ॉर्म को CSRF हमलों से बचाने के लिए CSRF टोकन, समान साइट कुकीज़ और अन्य सुरक्षा तकनीकों का उपयोग करना आवश्यक है।

अतिरिक्त सुरक्षा उपाय

CSRF हमलों से बचाव के लिए, निम्नलिखित अतिरिक्त सुरक्षा उपायों को लागू किया जा सकता है:

• **नियमित सुरक्षा ऑडिट:** नियमित रूप से अपनी वेबसाइट और एप्लिकेशन का सुरक्षा ऑडिट करें ताकि किसी भी भेद्यता की पहचान की जा सके।
• **सॉफ्टवेयर अपडेट:** अपने सभी सॉफ़्टवेयर को नवीनतम संस्करणों में अपडेट रखें ताकि ज्ञात सुरक्षा दोषों को ठीक किया जा सके।
• **उपयोगकर्ता शिक्षा:** अपने उपयोगकर्ताओं को CSRF हमलों के बारे में शिक्षित करें और उन्हें संदिग्ध लिंक या ईमेल पर क्लिक करने से बचने के लिए प्रोत्साहित करें।
• **वेब एप्लिकेशन फ़ायरवॉल (WAF):** एक WAF का उपयोग करें जो दुर्भावनापूर्ण अनुरोधों को फ़िल्टर कर सकता है और CSRF हमलों से बचाव कर सकता है।
• **सामग्री सुरक्षा नीति (CSP):** CSP का उपयोग करें ताकि यह नियंत्रित किया जा सके कि ब्राउज़र किस प्रकार की सामग्री लोड कर सकता है।

निष्कर्ष

CSRF हमले एक गंभीर खतरा हैं जो वेब अनुप्रयोगों को प्रभावित कर सकते हैं। CSRF हमलों से बचाव के लिए, वेबसाइटों और एप्लिकेशन को CSRF टोकन, समान साइट कुकीज़ और अन्य सुरक्षा तकनीकों का उपयोग करना आवश्यक है। सुरक्षा के प्रति सक्रिय दृष्टिकोण अपनाकर, आप अपने उपयोगकर्ताओं और अपने डेटा को CSRF हमलों से बचा सकते हैं।

सुरक्षा वेब सुरक्षा CSRF टोकन समान साइट कुकीज़ हेडर सत्यापन डबल सबमिट कुकीज़ बाइनरी ऑप्शन बाइनरी ऑप्शन रणनीति तकनीकी विश्लेषण वॉल्यूम विश्लेषण जोखिम प्रबंधन ऑनलाइन सुरक्षा वेबसाइट सुरक्षा डेटा सुरक्षा सूचना सुरक्षा फ़िशिंग मैलवेयर सोशल इंजीनियरिंग सुरक्षा ऑडिट वेब एप्लिकेशन फ़ायरवॉल सामग्री सुरक्षा नीति प्रमाणीकरण सत्र प्रबंधन

अभी ट्रेडिंग शुरू करें

IQ Option पर रजिस्टर करें (न्यूनतम जमा $10) Pocket Option में खाता खोलें (न्यूनतम जमा $5)

हमारे समुदाय में शामिल हों

हमारे Telegram चैनल @strategybin से जुड़ें और प्राप्त करें: ✓ दैनिक ट्रेडिंग सिग्नल ✓ विशेष रणनीति विश्लेषण ✓ बाजार की प्रवृत्ति पर अलर्ट ✓ शुरुआती के लिए शिक्षण सामग्री