Узнайте о методе атаки с подделкой межсайтовых запросов.

Подделка межсайтовых запросов (XSRF или CSRF) — это метод атаки на веб-сайт, при котором злоумышленник маскируется под законного и доверенного пользователя.

Что такое подделка межсайтовых запросов?

Атака XSRF может использоваться для изменения настроек брандмауэра , публикации несанкционированных данных на форуме или проведения мошеннических финансовых транзакций. Атакованный пользователь может так и не узнать, что стал жертвой XSRF. Даже если пользователи обнаружат эту атаку, это произойдет только после того, как хакер нанес определенный ущерб, и не будет никаких мер по устранению этой проблемы.

Как осуществляется атака с подделкой межсайтовых запросов?

XSRF-атака может быть осуществлена ​​путем кражи личности существующего пользователя с последующим взломом веб-сервера с использованием ранее украденной личности. Злоумышленник также может обманом заставить законных пользователей случайно отправить запросы протокола передачи гипертекста (HTTP) и вернуть злоумышленнику конфиденциальные пользовательские данные.

Является ли подделка межсайтовых запросов тем же, что и межсайтовый сценарий или межсайтовая трассировка?

Атака XSRF функционально противоположна атаке с использованием межсайтового скриптинга (XSS) , при которой хакер вставляет вредоносный код в ссылку на веб-сайте, которая выглядит как источник, которому доверяют. Когда конечный пользователь нажимает на ссылку, встроенная программа отправляется как часть запроса и может выполняться на компьютере пользователя.

Атака XSRF также отличается от межсайтовой трассировки (XST), сложной формы XSS, которая позволяет злоумышленникам получать файлы cookie и другие данные аутентификации с помощью простых сценариев на стороне клиента. В XSS и XST конечный пользователь является основной целью атаки. В XSRF основной целью является веб-сервер, хотя ущерб от этой атаки несет конечный пользователь.

Уровень опасности подделки межсайтового запроса

От атак XSRF защититься труднее, чем от атак XSS или XST. Частично это связано с тем, что XSRF-атаки менее распространены и им не уделяется столько внимания. С другой стороны, на практике может быть сложно определить, действительно ли HTTP-запрос от конкретного пользователя отправлен этим человеком или нет. Хотя для проверки личности пользователей, пытающихся получить доступ к веб-сайту, можно использовать строгие меры предосторожности, пользователи не очень заинтересованы в частых запросах аутентификации. Использование криптографических токенов может обеспечить частую аутентификацию в фоновом режиме, чтобы пользователей не беспокоили постоянно запросы аутентификации.