O que é falsificação de solicitação entre sites?

CSRF ou Cross-Site Request Forgery é uma vulnerabilidade de site em que um invasor pode fazer com que uma ação aconteça na sessão de uma vítima em outro site. Uma das coisas que torna o CSRF um risco tão grande é que ele nem mesmo exige a interação do usuário, tudo o que é necessário é que a vítima visualize uma página da Web com a exploração.

Dica: CSRF geralmente é pronunciado letra por letra ou como “ondas do mar”.

Como funciona um ataque CSRF?

O ataque envolve o invasor criando um site que possui um método de fazer uma solicitação em outro site. Isso pode exigir interação do usuário, como fazer com que ele pressione um botão, mas também pode ser sem interação. Em JavaScript, existem maneiras de fazer com que uma ação aconteça automaticamente. Por exemplo, uma imagem de zero por zero pixel não será visível para o usuário, mas pode ser configurada para que seu “src” faça uma solicitação a outro site.

JavaScript é uma linguagem do lado do cliente, o que significa que o código JavaScript é executado no navegador, e não no servidor da web. Graças a este fato, o computador que faz a solicitação de CSRF é na verdade o da vítima. Infelizmente, isso significa que a solicitação é feita com todas as permissões que o usuário possui. Uma vez que o site de ataque enganou a vítima para fazer a solicitação CSRF, a solicitação é essencialmente indistinguível do usuário que faz a solicitação normalmente.

CSRF é um exemplo de “ataque de deputado confuso” contra o navegador da Web, pois o navegador é induzido a usar suas permissões por um invasor sem esses privilégios. Essas permissões são seus tokens de sessão e autenticação para o site de destino. Seu navegador inclui automaticamente esses detalhes em qualquer solicitação que fizer.

Os ataques CSRF são um tanto complexos de organizar. Em primeiro lugar, o site de destino precisa ter um formulário ou URL que tenha efeitos colaterais, como a exclusão de sua conta. O invasor precisa então fazer uma solicitação para executar a ação desejada. Por fim, o invasor precisa fazer com que a vítima carregue uma página da Web com o exploit enquanto ela está conectada ao site de destino.

Para evitar problemas de CSRF, a melhor coisa que você pode fazer é incluir um token CSRF. Um token CSRF é uma string gerada aleatoriamente que é definida como um cookie, o valor precisa ser incluído com cada resposta ao lado de um cabeçalho de solicitação que inclui o valor. Embora um ataque CSRF possa incluir o cookie, não há como determinar o valor do token CSRF para definir o cabeçalho e, portanto, o ataque será rejeitado.



Leave a Comment

Como Remover Informações Salvas do Autofill do Firefox

Como Remover Informações Salvas do Autofill do Firefox

Remova informações salvas do Autofill do Firefox seguindo estes passos rápidos e simples para dispositivos Windows e Android.

Como Fazer Soft e Hard Reset no iPod Shuffle

Como Fazer Soft e Hard Reset no iPod Shuffle

Neste tutorial, mostramos como executar um soft reset ou hard reset no Apple iPod Shuffle.

Como Gerenciar suas Assinaturas do Google Play no Android

Como Gerenciar suas Assinaturas do Google Play no Android

Existem muitos aplicativos incríveis no Google Play que você não pode deixar de assinar. Após um tempo, essa lista cresce e você precisará gerenciar suas assinaturas do Google Play.

Como Usar o Samsung Pay Com o Galaxy Z Fold 5

Como Usar o Samsung Pay Com o Galaxy Z Fold 5

Procurar aquele cartão na carteira pode ser um verdadeiro incômodo. Nos últimos anos, várias empresas têm desenvolvido e lançado soluções de pagamento sem contato.

Como Excluir o Histórico de Downloads do Android

Como Excluir o Histórico de Downloads do Android

Ao excluir o histórico de downloads do Android, você ajuda a liberar espaço de armazenamento e outros benefícios. Aqui estão os passos a seguir.

Como Excluir Fotos e Vídeos do Facebook

Como Excluir Fotos e Vídeos do Facebook

Este guia mostrará como excluir fotos e vídeos do Facebook usando um PC, Android ou dispositivo iOS.

Como Reiniciar o Galaxy Tab S9

Como Reiniciar o Galaxy Tab S9

Nós passamos um pouco de tempo com o Galaxy Tab S9 Ultra, que é o tablet perfeito para emparelhar com seu PC Windows ou o Galaxy S23.

Como Silenciar Mensagens de Texto em Grupo no Android 11

Como Silenciar Mensagens de Texto em Grupo no Android 11

Silencie mensagens de texto em grupo no Android 11 para manter as notificações sob controle no aplicativo de Mensagens, WhatsApp e Telegram.

Firefox: Limpar o Histórico de URLs da Barra de Endereços

Firefox: Limpar o Histórico de URLs da Barra de Endereços

Aprenda a limpar o histórico de URLs da barra de endereços no Firefox e mantenha suas sessões privadas seguindo estes passos simples e rápidos.

Como Identificar e Denunciar Golpistas no Facebook

Como Identificar e Denunciar Golpistas no Facebook

Para denunciar um golpista no Facebook, clique em Mais opções e selecione Encontrar suporte ou denunciar perfil. Em seguida, preencha o formulário de denúncia.