Cross-Site Request Forgery (CSRF)

También conocido como: CSRF, Session riding

Ataque web que fuerza al navegador de un usuario autenticado a enviar peticiones no deseadas a un sitio vulnerable, ejecutando acciones sin su consentimiento.

El Cross-Site Request Forgery (CSRF) aprovecha que los navegadores adjuntan automáticamente cookies y otras credenciales a las peticiones salientes. La víctima, ya autenticada en el sitio objetivo, es engañada para cargar una página maliciosa que envía formularios o llamadas a la API en segundo plano, provocando acciones como cambiar la contraseña, transferir dinero o modificar la cuenta — todas en nombre del usuario legítimo. Las defensas incluyen tokens sincronizadores (tokens anti-CSRF), cookies SameSite (Lax o Strict), patrones double-submit, exigir reautenticación para acciones críticas, validar las cabeceras Origin/Referer y usar credenciales fuera de la cookie, como tokens bearer en memoria.

Ejemplos

Un usuario autenticado abre una página del atacante que envía silenciosamente un POST a /transfer y mueve fondos de su banco.
Un administrador hace clic en un enlace que envía un formulario oculto a /users/promote y otorga privilegios al atacante.

Cross-Site Request Forgery (CSRF)

Ejemplos

Términos relacionados

Cross-Site Scripting (XSS)

SameSite Cookie

Secuestro de sesión

CORS (Cross-Origin Resource Sharing)

Session Management

OWASP Top 10

Definición

Ejemplos

Términos relacionados

Cross-Site Scripting (XSS)

SameSite Cookie

Secuestro de sesión

CORS (Cross-Origin Resource Sharing)

Session Management

OWASP Top 10