Como evito falsificação entre sites?
Uma falsificação entre sites (XSRF ou CSRF), também conhecida por uma variedade de nomes, incluindo falsificação de solicitação entre sites, pilotagem de sessões e ataque de um clique, é um tipo difícil de exploração de site a prevenir. Ele opera enganando um navegador da web para enviar comandos não autorizados para um servidor remoto. Os ataques de falsificação entre sites só trabalham contra usuários que entraram em sites com credenciais autênticas; Como resultado, o registro dos sites pode ser uma medida preventiva simples e eficaz. Os desenvolvedores da Web podem usar tokens gerados aleatoriamente para ajudar a evitar esse tipo de ataque, mas devem evitar verificar o referenciador ou confiar em cookies.
É comum as explorações de falsificação entre sites para segmentar navegadores da web no que é conhecido como "vice-ataque confuso". Acreditando estar agindo em nome do usuário, o navegador é levado a enviar comandos não autorizados para um servidor remoto. Esses comandos podem ser escondidos dentro de partes aparentemente inocentes do código de marcação de uma página da web, o que significa que uma sobrancelhaSer tentando baixar um arquivo de imagem pode realmente estar enviando comandos para um banco, varejista on -line ou site de redes sociais. Alguns navegadores agora incluem medidas projetadas para evitar ataques de falsificação entre sites, e programadores de terceiros criaram extensões ou plugins que não têm essas medidas. Também pode ser uma boa idéia desativar o e-mail de Hypertext Markup Language (HTML) em seu cliente preferido, porque esses programas também são vulneráveis a ataques de falsificação entre sites.
Desde que os ataques de falsificação entre sites dependem de usuários que legitimamente entraram em um site. Com isso em mente, uma das maneiras mais fáceis de impedir esse ataque é simplesmente sair dos sites que você terminou. Muitos sites que lidam com dados confidenciais, incluindo bancos e corretoras, fazem isso automaticamente após um certo período de inatividade. Outros sites adotam a abordagem oposta e permitem que os usuários sejam PersiFelizmente logado por dias ou semanas. Embora você possa achar isso conveniente, ele o expõe a ataques de CSRF. Procure uma opção "Lembre -me de mim neste computador" ou "Mantenha -me conectado" e desative -o e clique no link de logon quando concluir uma sessão.
Para desenvolvedores da Web, a eliminação de vulnerabilidades de falsificação entre sites pode ser uma tarefa particularmente desafiadora. A verificação das informações do referenciador e do cookie não fornece muita proteção porque as explorações do CSRF aproveitam as credenciais legítimas do usuário e essas informações são fáceis de falsificar. Uma abordagem melhor seria gerar aleatoriamente um token de uso único cada vez que um usuário faz login e exigir que o token seja incluído em qualquer solicitação enviada pelo usuário. Para solicitações importantes, como compras ou transferências de fundos, exigindo que um usuário revente o nome de usuário e a senha pode ajudar a garantir a autenticidade da solicitação.