Атаки и угрозы
Подделка межсайтовых запросов (CSRF)
Также известно как: CSRF, Session riding
Определение
Веб-атака, заставляющая браузер аутентифицированного пользователя отправлять нежелательные запросы к уязвимому сайту и выполнять действия без его согласия.
Подделка межсайтовых запросов (CSRF) использует то, что браузеры автоматически прикрепляют cookie и другие учётные данные к исходящим запросам. Жертву, уже авторизованную в целевом сайте, заставляют открыть вредоносную страницу, которая в фоне отправляет формы или API-запросы и выполняет действия — смену пароля, перевод средств, изменение настроек — от имени легитимного пользователя. Меры защиты: синхронизирующие anti-CSRF токены, cookie с атрибутом SameSite (Lax или Strict), паттерн double-submit, повторная аутентификация для критичных действий, валидация заголовков Origin/Referer и использование некукиовых учётных данных, например bearer-токенов в памяти.
Примеры
- Авторизованный пользователь открывает контролируемую злоумышленником страницу, которая в фоне делает POST на /transfer и переводит деньги с банковского счёта.
- Администратор кликает по ссылке, скрытая форма которой отправляется на /users/promote и выдаёт злоумышленнику административные права.
Связанные термины
Межсайтовый скриптинг (XSS)
Веб-уязвимость, позволяющая злоумышленнику внедрять вредоносные скрипты на страницы, просматриваемые другими пользователями, и выполнять их в браузере жертвы под источником сайта.
SameSite Cookie
SameSite Cookie — definition coming soon.
Перехват сессии
Атака, при которой злоумышленник захватывает уже аутентифицированную сессию жертвы, похищая или подделывая её идентификатор и действуя как пользователь без его учётных данных.
CORS (Cross-Origin Resource Sharing)
CORS (Cross-Origin Resource Sharing) — definition coming soon.
Session Management
Session Management — definition coming soon.
OWASP Top 10
OWASP Top 10 — definition coming soon.