Home » » Che cosè la falsificazione di richieste tra siti?

Che cosè la falsificazione di richieste tra siti?

CSRF o Cross-Site Request Forgery è una vulnerabilità del sito Web in cui un utente malintenzionato può causare l'esecuzione di un'azione nella sessione di una vittima su un altro sito Web. Una delle cose che rende CSRF così rischioso è che non richiede nemmeno l'interazione dell'utente, tutto ciò che serve è che la vittima visualizzi una pagina web con l'exploit in essa.

Suggerimento: CSRF è generalmente pronunciato lettera per lettera o come "spuma del mare".

Come funziona un attacco CSRF?

L'attacco coinvolge l'attaccante che crea un sito web che ha un metodo per effettuare una richiesta su un altro sito web. Ciò potrebbe richiedere l'interazione dell'utente, ad esempio fargli premere un pulsante, ma potrebbe anche essere senza interazione. In JavaScript ci sono modi per far sì che un'azione avvenga automaticamente. Ad esempio, un'immagine zero per zero pixel non sarà visibile all'utente ma può essere configurata in modo che il suo "src" faccia una richiesta a un altro sito web.

JavaScript è un linguaggio lato client, ciò significa che il codice JavaScript viene eseguito nel browser anziché sul server web. Grazie a questo fatto, il computer che effettua la richiesta CSRF è in realtà quello della vittima. Sfortunatamente, questo significa che la richiesta viene effettuata con tutti i permessi di cui dispone l'utente. Una volta che il sito Web attaccante ha indotto la vittima a effettuare la richiesta CSRF con l'inganno, la richiesta è essenzialmente indistinguibile dall'utente che effettua la richiesta normalmente.

CSRF è un esempio di "attacco di vice confuso" contro il browser Web poiché il browser viene indotto a utilizzare le sue autorizzazioni da un utente malintenzionato senza tali privilegi. Queste autorizzazioni sono la tua sessione e i token di autenticazione per il sito Web di destinazione. Il tuo browser include automaticamente questi dettagli in qualsiasi richiesta effettuata.

Gli attacchi CSRF sono alquanto complessi da organizzare. Prima di tutto, il sito Web di destinazione deve avere un modulo o un URL con effetti collaterali come l'eliminazione del tuo account. L'attaccante deve quindi creare una richiesta per eseguire l'azione desiderata. Infine, l'attaccante deve convincere la vittima a caricare una pagina Web con l'exploit mentre è connessa al sito Web di destinazione.

Per prevenire problemi CSRF, la cosa migliore che puoi fare è includere un token CSRF. Un token CSRF è una stringa generata casualmente che viene impostata come cookie, il valore deve essere incluso in ogni risposta insieme a un'intestazione della richiesta che include il valore. Sebbene un attacco CSRF possa includere il cookie, non è possibile determinare il valore del token CSRF per impostare l'intestazione e quindi l'attacco verrà rifiutato.


Leave a Comment

Chrome: questo file non può essere scaricato in modo sicuro

Chrome: questo file non può essere scaricato in modo sicuro

Scopri come risolvere l

Opera VPN non funziona? Prova queste soluzioni rapide

Opera VPN non funziona? Prova queste soluzioni rapide

Scopri come risolvere i problemi con Opera VPN, il servizio VPN gratuito incluso nel browser Opera. Seguendo queste soluzioni rapide, puoi ottimizzare la tua esperienza VPN.

Come controllare la cronologia delle attività di accesso a Gmail

Come controllare la cronologia delle attività di accesso a Gmail

Scopri come controllare la cronologia delle attività di accesso a Gmail per garantire la sicurezza del tuo account. Segui questi semplici passaggi e proteggi i tuoi dati.

Come impedire a YouTube di chiedere se si desidera continuare a guardare

Come impedire a YouTube di chiedere se si desidera continuare a guardare

Scopri come evitare che YouTube ti chieda di confermare se stai continuando a guardare, utilizzando estensioni efficaci per Chrome e Firefox.

Correggi YouTube: i nostri sistemi hanno rilevato traffico insolito

Correggi YouTube: i nostri sistemi hanno rilevato traffico insolito

Se YouTube ha rilevato traffico insolito dal mio computer, ciò potrebbe significare che il sistema sospetta che si tratti di traffico automatizzato. Scopri come risolvere questo problema.

Correzione: YouTube Kids non carica i video

Correzione: YouTube Kids non carica i video

Se YouTube Kids non riproduce alcun video, controlla la connessione, esci dal tuo account e svuota la cache. Trova soluzioni efficaci per risolvere questo problema.

Puoi disegnare un raggio su Google Maps?

Puoi disegnare un raggio su Google Maps?

Scopri se puoi disegnare un raggio su Google Maps e quali strumenti alternativi puoi utilizzare per calcolare la distanza intorno a una posizione.

Non riesci ad accedere a YouTube? Usa questi suggerimenti per risolvere il problema

Non riesci ad accedere a YouTube? Usa questi suggerimenti per risolvere il problema

Se non riesci ad accedere a YouTube, controlla se il tuo browser è responsabile di questo problema. Svuota la cache, disabilita le estensioni e segui i nostri suggerimenti per risolvere facilmente il problema.

Zoom: come configurare gli avvisi del lettore dello schermo

Zoom: come configurare gli avvisi del lettore dello schermo

Usare un computer quando sei ipovedente non è particolarmente facile. Scopri come configurare gli avvisi del lettore dello schermo in Zoom per facilitare l

Come proteggere con password i file su Google Drive?

Come proteggere con password i file su Google Drive?

Scopri come proteggere con password i tuoi file su Google Drive con questo metodo semplice e veloce.