ਕੀ ਕਰਾਸ-ਸਾਈਟ ਬੇਨਤੀ ਜਾਅਲਸਾਜ਼ੀ (CSRF) ਹਮਲਾ GET ਬੇਨਤੀ ਅਤੇ POST ਬੇਨਤੀ ਦੇ ਨਾਲ ਸੰਭਵ ਹੈ?
ਕਰਾਸ-ਸਾਈਟ ਬੇਨਤੀ ਜਾਅਲਸਾਜ਼ੀ (CSRF) ਹਮਲਾ ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨਾਂ ਵਿੱਚ ਇੱਕ ਪ੍ਰਚਲਿਤ ਸੁਰੱਖਿਆ ਖਤਰਾ ਹੈ। ਇਹ ਉਦੋਂ ਵਾਪਰਦਾ ਹੈ ਜਦੋਂ ਇੱਕ ਖਤਰਨਾਕ ਅਭਿਨੇਤਾ ਇੱਕ ਉਪਭੋਗਤਾ ਨੂੰ ਇੱਕ ਵੈਬ ਐਪਲੀਕੇਸ਼ਨ ਵਿੱਚ ਅਣਜਾਣੇ ਵਿੱਚ ਕਾਰਵਾਈਆਂ ਕਰਨ ਲਈ ਚਲਾਕ ਕਰਦਾ ਹੈ ਜਿਸ ਵਿੱਚ ਉਪਭੋਗਤਾ ਪ੍ਰਮਾਣਿਤ ਹੁੰਦਾ ਹੈ। ਹਮਲਾਵਰ ਇੱਕ ਬੇਨਤੀ ਨੂੰ ਜਾਅਲੀ ਕਰਦਾ ਹੈ ਅਤੇ ਇਸਨੂੰ ਉਪਭੋਗਤਾ ਦੀ ਤਰਫੋਂ ਵੈਬ ਐਪਲੀਕੇਸ਼ਨ ਨੂੰ ਭੇਜਦਾ ਹੈ, ਅਗਵਾਈ ਕਰਦਾ ਹੈ
HTTP ਬੇਨਤੀ ਵਿੱਚ ਆਮ ਤੌਰ 'ਤੇ ਸਰੋਤ ਅਤੇ ਮੰਜ਼ਿਲ ਪੋਰਟ ਦੋਵੇਂ ਇੱਕੋ ਜਿਹੇ ਅਤੇ ਬਰਾਬਰ 80 ਹੁੰਦੇ ਹਨ?
OSI ਮਾਡਲ ਅਤੇ HTTP ਪ੍ਰੋਟੋਕੋਲ ਦੇ ਸੰਦਰਭ ਵਿੱਚ, ਇਹ ਦੱਸਣਾ ਸਹੀ ਨਹੀਂ ਹੈ ਕਿ ਇੱਕ HTTP ਬੇਨਤੀ ਵਿੱਚ ਸਰੋਤ ਅਤੇ ਮੰਜ਼ਿਲ ਪੋਰਟ ਹਮੇਸ਼ਾ ਇੱਕੋ ਜਿਹੇ ਅਤੇ 80 ਦੇ ਬਰਾਬਰ ਹੁੰਦੇ ਹਨ। OSI ਮਾਡਲ ਇੱਕ ਸੰਕਲਪਿਕ ਢਾਂਚਾ ਹੈ ਜੋ ਇੱਕ ਨੈੱਟਵਰਕਿੰਗ ਸਿਸਟਮ ਦੇ ਫੰਕਸ਼ਨਾਂ ਨੂੰ ਪਰਿਭਾਸ਼ਿਤ ਕਰਦਾ ਹੈ, ਜਦੋਂ ਕਿ HTTP ਪ੍ਰੋਟੋਕੋਲ
- ਵਿੱਚ ਪ੍ਰਕਾਸ਼ਿਤ ਸਾਈਬਰਸਪੀਕ੍ਰਿਟੀ, EITC/IS/CNF ਕੰਪਿਊਟਰ ਨੈੱਟਵਰਕਿੰਗ ਫੰਡਾਮੈਂਟਲਜ਼, OSI ਮਾਡਲ, OSI ਮਾਡਲ ਦੀ ਜਾਣ-ਪਛਾਣ
HEAD ਬੇਨਤੀਆਂ ਨਾਲ ਸਬੰਧਤ GitHub 'ਤੇ ਅਧਿਕਾਰਤ ਪ੍ਰਵਾਹ ਨੂੰ ਲਾਗੂ ਕਰਨ ਵਿੱਚ ਸੰਭਾਵੀ ਸਮੱਸਿਆ ਦਾ ਵਰਣਨ ਕਰੋ।
GitHub 'ਤੇ ਅਧਿਕਾਰਤ ਪ੍ਰਵਾਹ ਨੂੰ ਲਾਗੂ ਕਰਨ ਨਾਲ HEAD ਬੇਨਤੀਆਂ ਨਾਲ ਸੰਬੰਧਿਤ ਸੰਭਾਵੀ ਸਮੱਸਿਆਵਾਂ ਆ ਸਕਦੀਆਂ ਹਨ। HEAD ਵਿਧੀ HTTP ਪ੍ਰੋਟੋਕੋਲ ਦਾ ਇੱਕ ਹਿੱਸਾ ਹੈ, ਜੋ ਕਿ ਆਮ ਤੌਰ 'ਤੇ ਸਮੁੱਚੀ ਸਮੱਗਰੀ ਨੂੰ ਮੁੜ ਪ੍ਰਾਪਤ ਕੀਤੇ ਬਿਨਾਂ ਇੱਕ ਸਰੋਤ ਦੇ ਸਿਰਲੇਖਾਂ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ। ਹਾਲਾਂਕਿ ਇਸ ਵਿਧੀ ਨੂੰ ਆਮ ਤੌਰ 'ਤੇ ਵੱਖ-ਵੱਖ ਉਦੇਸ਼ਾਂ ਲਈ ਸੁਰੱਖਿਅਤ ਅਤੇ ਉਪਯੋਗੀ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ, ਇਹ
ਕੂਕੀਜ਼ ਸਰਵਰ ਦੁਆਰਾ ਕਲਾਇੰਟ-ਸਾਈਡ 'ਤੇ ਸਟੋਰ ਕੀਤੇ ਡੇਟਾ ਦੇ ਛੋਟੇ ਟੁਕੜੇ ਹਨ। ਉਹਨਾਂ ਦੀ ਵਰਤੋਂ ਸਥਿਤੀ ਨੂੰ ਕਾਇਮ ਰੱਖਣ ਅਤੇ ਉਪਭੋਗਤਾ ਦੇ ਇੰਟਰੈਕਸ਼ਨਾਂ ਨੂੰ ਟਰੈਕ ਕਰਨ ਲਈ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। ਕੂਕੀਜ਼ ਜਾਣਕਾਰੀ ਨੂੰ ਸਟੋਰ ਕਰ ਸਕਦੀਆਂ ਹਨ ਜਿਵੇਂ ਕਿ ਉਪਭੋਗਤਾ ਤਰਜੀਹਾਂ, ਸੈਸ਼ਨ ਪਛਾਣਕਰਤਾ, ਜਾਂ ਪ੍ਰਮਾਣਿਕਤਾ ਟੋਕਨ। ਉਹਨਾਂ ਨੂੰ ਹਰੇਕ ਬੇਨਤੀ ਦੇ ਨਾਲ ਭੇਜਿਆ ਜਾਂਦਾ ਹੈ, ਸਰਵਰ ਨੂੰ ਉਪਭੋਗਤਾ ਦੇ ਅਨੁਭਵ ਨੂੰ ਪਛਾਣਨ ਅਤੇ ਵਿਅਕਤੀਗਤ ਬਣਾਉਣ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ।
ਕੂਕੀਜ਼ ਅਸਲ ਵਿੱਚ ਡੇਟਾ ਦੇ ਛੋਟੇ ਟੁਕੜੇ ਹੁੰਦੇ ਹਨ ਜੋ ਸਰਵਰ ਦੁਆਰਾ ਕਲਾਇੰਟ-ਸਾਈਡ 'ਤੇ ਸਟੋਰ ਕੀਤੇ ਜਾਂਦੇ ਹਨ। ਉਹ ਸਥਿਤੀ ਨੂੰ ਕਾਇਮ ਰੱਖਣ ਅਤੇ ਵੈਬ ਐਪਲੀਕੇਸ਼ਨਾਂ ਵਿੱਚ ਉਪਭੋਗਤਾ ਇੰਟਰੈਕਸ਼ਨਾਂ ਨੂੰ ਟਰੈਕ ਕਰਨ ਵਿੱਚ ਇੱਕ ਮਹੱਤਵਪੂਰਣ ਭੂਮਿਕਾ ਨਿਭਾਉਂਦੇ ਹਨ। ਵੈੱਬ ਪ੍ਰੋਟੋਕੋਲ ਦੇ ਸੰਦਰਭ ਵਿੱਚ, ਕੂਕੀਜ਼ HTTP ਪ੍ਰੋਟੋਕੋਲ ਦਾ ਇੱਕ ਜ਼ਰੂਰੀ ਹਿੱਸਾ ਹਨ। ਜਦੋਂ ਕੋਈ ਉਪਭੋਗਤਾ ਕਿਸੇ ਵੈਬਸਾਈਟ 'ਤੇ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਸਰਵਰ ਕਰ ਸਕਦਾ ਹੈ
- ਵਿੱਚ ਪ੍ਰਕਾਸ਼ਿਤ ਸਾਈਬਰਸਪੀਕ੍ਰਿਟੀ, EITC/IS/WASF ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨ ਸੁਰੱਖਿਆ ਫੰਡਾਮੈਂਟਲਜ਼, ਵੈੱਬ ਪ੍ਰੋਟੋਕੋਲ, DNS, HTTP, ਕੂਕੀਜ਼, ਸੈਸ਼ਨ, ਪ੍ਰੀਖਿਆ ਸਮੀਖਿਆ
ਕਲਾਇੰਟਸ ਅਤੇ ਸਰਵਰਾਂ ਵਿਚਕਾਰ ਰਾਜਨੀਤਿਕ ਪਰਸਪਰ ਪ੍ਰਭਾਵ ਨੂੰ ਬਣਾਈ ਰੱਖਣ ਵਿੱਚ ਕੂਕੀਜ਼ ਅਤੇ ਸੈਸ਼ਨਾਂ ਦੀ ਭੂਮਿਕਾ ਦੀ ਵਿਆਖਿਆ ਕਰੋ, ਅਤੇ ਉਹਨਾਂ ਦੀ ਵਰਤੋਂ ਨਾਲ ਜੁੜੇ ਸੰਭਾਵੀ ਜੋਖਮਾਂ ਅਤੇ ਗੋਪਨੀਯਤਾ ਦੀਆਂ ਚਿੰਤਾਵਾਂ ਬਾਰੇ ਚਰਚਾ ਕਰੋ।
ਕੂਕੀਜ਼ ਅਤੇ ਸੈਸ਼ਨ ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨਾਂ ਵਿੱਚ ਕਲਾਇੰਟਸ ਅਤੇ ਸਰਵਰਾਂ ਵਿਚਕਾਰ ਸਟੇਟਮੂਲ ਇੰਟਰੈਕਸ਼ਨਾਂ ਨੂੰ ਬਣਾਈ ਰੱਖਣ ਵਿੱਚ ਮਹੱਤਵਪੂਰਨ ਭੂਮਿਕਾ ਨਿਭਾਉਂਦੇ ਹਨ। ਉਹ HTTP ਪ੍ਰੋਟੋਕੋਲ ਦੇ ਜ਼ਰੂਰੀ ਹਿੱਸੇ ਹਨ, ਜਾਣਕਾਰੀ ਦੇ ਆਦਾਨ-ਪ੍ਰਦਾਨ ਦੀ ਸਹੂਲਤ ਅਤੇ ਇੱਕ ਸਹਿਜ ਉਪਭੋਗਤਾ ਅਨੁਭਵ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਂਦੇ ਹਨ। ਹਾਲਾਂਕਿ, ਉਹਨਾਂ ਦੀ ਵਰਤੋਂ ਸੰਭਾਵੀ ਜੋਖਮਾਂ ਅਤੇ ਗੋਪਨੀਯਤਾ ਦੀਆਂ ਚਿੰਤਾਵਾਂ ਨੂੰ ਵੀ ਵਧਾਉਂਦੀ ਹੈ ਜਿਨ੍ਹਾਂ ਨੂੰ ਸੰਬੋਧਿਤ ਕਰਨ ਦੀ ਲੋੜ ਹੈ। ਕੂਕੀਜ਼ ਛੋਟੀਆਂ ਹਨ