CSRF атака - Межсайтовая подделка запроса

Уязвимость высокого уровня угрозы.

CSRF (Сross Site Request Forgery).
Межсайтовая подделка запроса — вид атак на посетителей веб-сайтов, использующий недостатки протокола HTTP.

CSRF (Сross Site Request Forgery) является угрозой класса А8 по классификации OWASP


Основное применение CSRF - вынуждение выполнения каких-либо действий на уязвимом сайте от лица администратора или авторизированного пользователя:

  • Изменение учетных данных доступа (к примеру пароля администратора).
  • Восстановления пароля, доступа к почте или любым другим интернет сервисам.
  • Операции с платежными системами.
  • Любые иные действия от авторизированного пользователя или администратора сайта.

ПРИМЕР ЭКСПЛУАТАЦИИ CSRF АТАКИ:

Жертва заходит на сайт, созданный злоумышленником, который от её лица отправляет запрос на другой, легальный сервер, к примеру на сервер платёжной системы.
Этот запрос осуществляет некую операцию, например перевод денег на счёт злоумышленника.

Сайт или форум, который посетила Jertva, содержит код:
<img src="http://bank_jertvi.com/withdraw?account=Jertva&amount=10000&for=Hacker&action=pay">

Этот код переведет деньги со счета Jertva на счет Hacker без ведома жертвы.

Для осуществления данной атаки, жертва должна быть авторизована на легальном сервере, на который отправляется запрос, и этот запрос не должен требовать какого-либо подтверждения со стороны пользователя, который не может быть проигнорирован или подделан атакующим скриптом.

Вышеописанный пример примитивен, и вряд-ли осуществим. В реалиях, CSRF - достаточно сложный в исполнение вид атаки, который требует определенной подготовки и навыков для ее успешной эксплуатации.

Для успешной реализации CSRF атаки, в качестве промежуточного звена, могут эксплуатироваться CSRF атаки, для хищения CSRF токенов.
(в качестве примера)


Защита от CSRF атак

Установка произвольных CSRF токенов, проверяемых сервером.



Сканер уязвимостей сайтов онлайн Проверьте, наколько устойчив к взлому Ваш сайт