Cross-Site Request Forgery (CSRF)

CSRF (Cross-Site Request Forgery) คือช่องโหว่ที่ทำให้ attacker สามารถ หลอกให้ผู้ใช้ที่ login อยู่ทำ action ที่ไม่ต้องการ เช่น โอนเงิน เปลี่ยน password หรือลบบัญชี โดยไม่รู้ตัว! CSRF เป็นหนึ่งในช่องโหว่ที่อันตรายมากเพราะใช้ความไว้วางใจที่ website มีต่อ browser ของ user! เมื่อ user login อยู่ browser จะส่ง session cookies ไปกับทุก request โดยอัตโนมัติ และนี่คือสิ่งที่ attackers ใช้ประโยชน์! CSRF attacks มักถูกใช้ร่วมกับ social engineering เพื่อหลอกให้ victims เปิด malicious pages!

อ่านว่า

CSRF อ่านว่า “sea-surf” ไม่ใช่ “ซี-เอส-อาร์-เอฟ” นะ! บางคนเรียกว่า XSRF หรือ “session riding” ก็ได้! เป็นหนึ่งใน OWASP Top 10 มาตลอด!