CSRF o Cross-Site Request Forgery es una vulnerabilidad de un sitio web en la que un atacante puede provocar una acción en la sesión de una víctima en otro sitio web. Una de las cosas que hace que CSRF sea tan riesgoso es que ni siquiera requiere la interacción del usuario, todo lo que se necesita es que la víctima vea una página web con el exploit.
Consejo: CSRF generalmente se pronuncia letra por letra o como "surf de mar".
¿Cómo funciona un ataque CSRF?
El ataque implica que el atacante crea un sitio web que tiene un método para realizar una solicitud en otro sitio web. Esto podría requerir la interacción del usuario, como hacer que presione un botón, pero también podría ser sin interacción. En JavaScript hay formas de hacer que una acción suceda automáticamente. Por ejemplo, una imagen de cero por cero píxeles no será visible para el usuario, pero se puede configurar para que su "src" realice una solicitud a otro sitio web.
JavaScript es un lenguaje del lado del cliente, esto significa que el código JavaScript se ejecuta en el navegador en lugar de en el servidor web. Gracias a este hecho, la computadora que realiza la solicitud CSRF es en realidad la de la víctima. Desafortunadamente, esto significa que la solicitud se realiza con todos los permisos que tiene el usuario. Una vez que el sitio web atacante ha engañado a la víctima para que realice la solicitud CSRF, la solicitud es esencialmente indistinguible del usuario que realiza la solicitud normalmente.
CSRF es un ejemplo de un "ataque adjunto confuso" contra el navegador web, ya que un atacante sin esos privilegios engaña al navegador para que use sus permisos. Estos permisos son su sesión y tokens de autenticación para el sitio web de destino. Su navegador incluye automáticamente estos detalles en cualquier solicitud que realice.
Los ataques CSRF son algo complejos de organizar. En primer lugar, el sitio web de destino debe tener un formulario o URL que tenga efectos secundarios, como eliminar su cuenta. Luego, el atacante debe elaborar una solicitud para realizar la acción deseada. Finalmente, el atacante necesita que la víctima cargue una página web con el exploit mientras está conectado al sitio web de destino.
Para evitar problemas de CSRF, lo mejor que puede hacer es incluir un token CSRF. Un token CSRF es una cadena generada aleatoriamente que se establece como una cookie, el valor debe incluirse con cada respuesta junto con un encabezado de solicitud que incluye el valor. Si bien un ataque CSRF puede incluir la cookie, no hay forma de poder determinar el valor del token CSRF para configurar el encabezado y, por lo tanto, el ataque será rechazado.
Chrome, de forma predeterminada, no muestra la URL completa. Puede que no le importe demasiado este detalle, pero si por alguna razón necesita que se muestre la URL completa, encontrará instrucciones detalladas sobre cómo hacer que Google Chrome muestre la URL completa en la barra de direcciones.
Reddit cambió su diseño una vez más en enero de 2024. Los usuarios del navegador de escritorio pueden ver el rediseño y reduce el feed principal al tiempo que proporciona enlaces.
Escribir tu cita favorita de tu libro en Facebook lleva mucho tiempo y está lleno de errores. Aprenda a usar Google Lens para copiar texto de libros a sus dispositivos.
A veces, cuando estás trabajando en Chrome, no puedes acceder a ciertos sitios web y aparece el error "No se pudo encontrar la dirección DNS del servidor de reparación en Chrome". Así es como puede resolver el problema.
Los recordatorios siempre han sido lo más destacado de Google Home. Seguramente nos hacen la vida más fácil. Hagamos un recorrido rápido sobre cómo crear recordatorios en Google Home para que nunca dejes de hacer recados importantes.
Cómo cambiar tu contraseña en el servicio de vídeo en streaming Netflix usando tu navegador preferido o aplicación de Android.
Si desea deshacerse del mensaje Restaurar páginas en Microsoft Edge, simplemente cierre el navegador o presione la tecla Escape.
¿Busca una alternativa confiable de Google Voice para llamadas telefónicas? Descubra las mejores alternativas de llamadas VoIP a Google Voice.
Un sombrero negro es un hacker que victimiza a las personas y viola la ley. Sigue leyendo para saber más sobre el tema.
¿No sabes qué es un ciberdelincuente? Un ciberdelincuente es un delincuente que comete delitos principalmente utilizando sistemas informáticos.
