КИБЕРВИКИПЕДИЯ
SECURITY VISION

Межсайтовая подделка запроса, CSRF (Cross-Site Request Forgery) — это тип атаки, при которой злоумышленник заставляет пользователя выполнить нежелательные действия на веб-сайте, на котором он уже аутентифицирован.

CSRF-атака использует доверие веб-сайта к пользователю, который уже вошел в свою учетную запись. Злоумышленник может создать фальшивую веб-страницу с вредоносным запросом (например, переводом денег или изменением пароля), который автоматически отправляется от имени пользователя на другой сайт, когда тот посещает страницу злоумышленника. Так как пользователь уже аутентифицирован на целевом сайте, запрос будет выполнен с его правами.

Для защиты от CSRF-атак:

· Использование токенов CSRF: Каждый запрос, который может изменить состояние на сервере, должен включать уникальный токен, который можно проверить на сервере, чтобы убедиться, что запрос был отправлен с легитимной формы.

· Проверка реферера (referrer): Сервер должен проверять, откуда пришел запрос, чтобы убедиться, что он был отправлен с авторизованного источника.

· Использование HTTP-методов: Для изменений данных следует использовать методы POST, а не GET, поскольку они менее подвержены подделке через ссылки.

Бытовые примеры:

1. Фальшивый платеж: Как если бы кто-то мог сделать перевод денег с вашего счета, если вы случайно нажали на фальшивую ссылку, так и CSRF заставляет выполнить нежелательное действие.

2. Подделка подписи: Как мошенник может подделать подпись на документе от вашего имени, так и CSRF заставляет отправить запрос с вашими правами.

3. Изменение настроек: Как если бы кто-то мог изменить настройки вашего устройства через его интерфейс без вашего разрешения, так и CSRF позволяет манипулировать данными с вашего аккаунта.