[Bảo mật] CSRF là gì?
Những khái niệm cơ bản Hiện nay vấn đề bảo mật đang được đặt lên hàng đầu tại những website lớn và có sức ảnh hưởng. Một trong số những kiểu tấn công phổ biến hiện nay ngoài SQL Injection, XSS,...thì CSRF là một loại tấn công tinh vi hơn cả. CSRF là gì? CSRF (Cross-site Request Forgery) là hình thức tấn công lợi dụng quyền chứng thực của người dùng để gửi đi các đoạn request đến server để thực hiện các hành động nhất định . Hiểu một cách đơn giản, khi người dùng (nhân viên ngân hàng) đăng nhập vào một website (website ngân hàng) thì họ sẽ có một quyền chứng thực được server tin tưởng để gửi các request chứa các hành động cụ thể để tác động trực tiếp/gián tiếp lên server (máy chủ). Lúc này, một hacker gửi một tin nhắn kèm theo một đoạn request không hợp lệ (request yêu cầu chuyển một khoản tiền đến một tài khoản nhất định) qua email của người dùng này. Người dùng này lỡ ấn nhầm vào link và gián tiếp thực hiện request không hợp lệ trên bằng quyền chứng thực của mình với máy chủ...