Cross-Site Request Forgery (CSRF)

Lexikon webových zranitelností

zpět
Název: Cross-Site Request Forgery (CSRF)
Zařazení: Session management, Útoky proti uživatelům
Závažnost: Nízká - Vysoká

Popis:

Útoky typu Cross-Site Request Forgery zneužívají důvěry serveru v uživatele. Pokud je uživatel zalogován do aplikace, pak všechny požadavky, které na server tento uživatel odešle, budou aplikací vykonány pod jeho identitou. Uživatel ovšem může odeslat na server požadavek také nevědomky, například pokud klikne na odkaz, nebo navštíví stránku útočníka. Ta totiž může obsahovat odkaz na stažení externího obsahu (např. obrázek), samoodesílací formulář, nebo AJAXové volání. Aniž by to pak uživatel věděl, mohl právě serveru odeslat požadavek na změnu hesla, změnu kontaktní e-mailové adresy, a podobně.

Ochrana spočívá v přidání jedinečných náhodných tokenů ke všem funkčním odkazům a formulářům.