Solicitare de falsificare între site-uri

De la Wikipedia, enciclopedia liberă.
Salt la navigare Salt la căutare

Falsificarea cererilor între site-uri , abreviate CSRF sau chiar XSRF , este o vulnerabilitate la care sunt expuse site-urile dinamice atunci când sunt concepute pentru a primi cereri de la un client fără mecanisme pentru a verifica dacă cererea a fost trimisă intenționat sau nu. Spre deosebire de cross-site scripting (XSS), care valorifică încrederea unui utilizator într-un anumit site, CSRF valorifică încrederea unui site în browserul unui utilizator.

Posibilă tehnică

Un cracker determină un utilizator victimă să trimită neintenționat o cerere HTTP din browserul său către sistemul web unde este autentificat în prezent; sistemul, vulnerabil la CSRF, având certitudinea că cererea vine de la utilizatorul autentificat anterior, îl execută fără să știe că în realitate există o acțiune gândită de atacator în spatele său, cum ar fi un transfer de fonduri, o achiziție a unui obiect , o cerere de date sau orice altă funcție oferită de aplicația vulnerabilă. Există nenumărate moduri în care un utilizator poate fi păcălit să trimită cererea intenționată a unui atacator către un server web , de exemplu prin ascunderea cererii într-un element HTML, cum ar fi o imagine, o cerere XMLHttpRequest sau o adresă URL .

Exemplu de atac

Să presupunem că utilizatorul A s-a conectat la site-ul www.ilmiocontobancario.it pentru a accesa operațiunile din contul său bancar. Site-ul www.ilmiocontobancario.it are un formular pentru plăți care, atunci când trimitem datele, va solicita o pagină precum www.ilmiocontobancario.it/versamento?importo=XXXX&destinatario=XXXX ; de exemplu: utilizatorul B trimite lui A, posibil prin e - mail , o etichetă img html pentru a încărca automat conținutul link-ului ca și cum ar fi o imagine ca următoarea: <IMG src = 'www.ilmiocontobancario.it / .. .plată? sumă = 1000E & destinatar = B '> . Când A încearcă să acceseze imaginea, browserul va trimite de fapt o solicitare HTTP către pagina web indicată încercând să încarce imaginea. Site-ul www.ilmiocontobancario.it va detecta, prin intermediul cookie - ului , că solicitarea vine de fapt de la A și, prin urmare, va autoriza operațiunea.

Gradul de severitate

Falsificarea cererilor între site-uri se situează pe locul nouă în lista celor 25 de erori de software cele mai frecvente și periculoase scrise de Mitre în colaborare cu Institutul Sans [1] . Conform listei, această vulnerabilitate este întâlnită foarte des în cod, cu consecința că un posibil exploat poate permite atacatorului să execute coduri rău intenționate sau să fure, să modifice și să modifice date sensibile. Corecția acestei vulnerabilități asupra codului deja scris și implementat este vastă, adică necesită schimbări semnificative și profunde în arhitectura codului în sine. Un sistem poate fi expus zilnic atacurilor cibernetice care exploatează această slăbiciune, determinând frecvența atacului să fie considerată ridicată, în ciuda unei dificultăți moderate în găsirea exploatării sale.

Măsuri de atenuare a riscurilor

Următoarea listă reprezintă o serie de contramăsuri pentru a atenua riscul unui atac CSRF:

  • Nu utilizați metoda GET pentru solicitări care implică o schimbare de stare, cum ar fi schimbarea datelor. Verificați câmpul de antet HTTP pentru a vedea dacă cererea a fost generată de pe o pagină validă.
  • Verificați dacă sistemul dvs. nu prezintă vulnerabilități de scriptare între site-uri, deoarece multe dintre apărările CSRF pot fi evitate prin utilizarea unor astfel de vulnerabilități.
  • Utilizați cadre , biblioteci , module și, în general, cod de încredere care permit dezvoltatorului să evite introducerea acestei vulnerabilități.
  • Identificați acele operațiuni care pot fi periculoase și atunci când un utilizator generează o operațiune de acest tip trimiteți o cerere suplimentară de confirmare utilizatorului, de exemplu, o cerere de parolă , care trebuie verificată înainte de efectuarea operației.
  • În ceea ce privește utilizatorul, este o bună practică să vă deconectați întotdeauna de pe site-uri web sensibile înainte de a vizita alte pagini web .

Notă

  1. ^ ( RO ) 2019 CWE Top 25 Cele mai periculoase erori de software , la cwe.mitre.org . Adus pe 5 iulie 2020 .

Elemente conexe

Securitate IT Portal de securitate cibernetică : accesați intrările Wikipedia care se ocupă de securitatea cibernetică
Adus de la „ https://it.wikipedia.org/w/index.php?title=Cross-site_request_forgery&oldid=118959464