Què és la falsificació de sol·licituds entre llocs (csrf)? - Definició de tecnologia

Definició: què significa la falsificació de sol·licituds entre llocs (CSRF)?

La falsificació de sol·licituds entre llocs (CSRF) és un tipus d’explotació de llocs web que es realitza mitjançant l’emissió d’ordres no autoritzades d’un usuari de lloc web de confiança. CSRF explota la confiança d’un lloc web per al navegador d’un determinat usuari, en contraposició a les seqüències d’intercanvi de llocs web, que explota la confiança de l’usuari per a un lloc web.

Aquest terme és conegut també com a sessió o atac d'un clic.

Techopedia explica Forgery de sol·licituds entre llocs (CSRF)

Un CSRF sol utilitzar l'ordre "GET" del navegador com a punt d'explotació. Els falsificadors de RSC utilitzen etiquetes HTML com "IMG" per injectar ordres en un lloc web específic. Aleshores, un usuari particular d'aquest lloc web s'utilitza com a amfitrió i còmplice involuntari. Sovint el lloc web no sap que està en atac, ja que un usuari legítim envia les ordres. L’atacant pot emetre una sol·licitud per transferir fons a un altre compte, retirar més fons o, en el cas de PayPal i llocs similars, enviar diners a un altre compte.

És difícil executar un atac de CSRF perquè han de succeir diverses coses perquè triomfi:

• L’atacant ha d’adreçar-se a un lloc web que no revisi l’encapçalament del remitent (que és comú) o a un usuari / víctima amb un navegador o un error de complement que permeti fer malbé el remitent (cosa rara).
• L’atacant ha de localitzar una presentació de formulari al lloc web de destinació, que ha de ser capaç d’alguna cosa com canviar les credencials d’inici d’adreça de correu electrònic de la víctima o fer transferències de diners.
• L’atacant ha de determinar els valors correctes per a totes les entrades del formulari o l’URL. Si algú d'ells és obligatori ser valors o identificacions secretes que l'atacant no pugui endevinar amb precisió, l'atac fallarà.
• L’atacant ha d’atractar l’usuari / víctima a una pàgina web amb codi maliciós mentre la víctima s’iniciarà en el lloc de destinació.

Per exemple, suposem que la persona A està navegant pel seu compte bancari mentre també es troba a una sala de xat. Hi ha un atacant (persona B) a la sala de xat que s’assabenta que la persona A també està connectada a banc.com. La persona B atrau a la persona A per fer clic en un enllaç per obtenir una imatge divertida. L'etiqueta "IMG" conté valors per a les entrades de formulari de bank.com, que transferiran efectivament una quantitat determinada del compte de la persona A al compte de la persona B. Si banc.com no té autenticació secundària per a la persona A abans de transferir els fons, l'atac tindrà èxit.