CSRF-атаки и то, как от них защититься

02.06.2021

Особенности защиты от CSRF-атак – это проведение из с использованием мошеннического сайта или скрипта, который будет заставлять пользователя выполнить то или иное действие на доверенном сайте.

Как правило, пользователь переходит туда по ссылке, изменяемой с использованием специального сокращателя.

На деле все значительно проще, чем если читать длительные описания. К примеру, сотрудник, авторизированный на банковском сайте, проверяет почту. В этом случае он вполне может перейти по фишинговой ссылке, которая обеспечит доступ к средствам и сделает их доступным для мошенников. И из-за того, что человек зарегистрирован на сайте, банк без проблем обрабатывает запросы на перевод.

Подробнее узнать о вредоносных атаках и том, как от них защититься, можно, изучив сайт https://codernet.ru, где представлены видеокурсы, книги и статьи, которые помогут разобраться в непростом мире программирования.

НТТР, подверженные CSRF

Варианты TRACE, HEAD, GET и OPTIONS CSRF не подвержены, поскольку используются только для получения информации и состояния сервера изменить не могут. А пот методы DETE, PATCH, POST, PUT обязаны иметь соответствующий уровень защиты. Дополнительная информация также доступна на www.codernet.ru

Сессии Cookies

Данные сессии – вариант, которым протокол НТТР контролирует состояние. Веб-сайты применяют cookies для сохранения данных и идентификации пользователей.

После того как cookies уже были сохранены, браузер посылает их на сервер с любым запросом с целью идентификации пользователя. В итоге мошенник может использовать данную технологию с целью выдать себя за пользователя, заставляя браузер выполнить тот или иной запрос.

Если пользователь уже зашел на сайт, cookies автоматически отправляются вместе с запросом.

Как действует CSRF?

Чтобы атака оказалась успешной, необходимы следующие условия:

- в приложении имеются действия, интересные для мошенника – к примеру, смена пароля;

- отсутствуют непредсказуемые параметры запроса. Преступник может угадать или выведать то, что приложение должно увидеть при данном типе запроса;

- действие может выполняться с использованием НТТР-запросов. Оно полагается лишь на cookie для того чтобы убедиться, что запрос действительно идет от пользователя.

Как защититься

Чтобы обезопасить себя от мошенничества подобного рода, можно использовать следующие методы:

- выбор фреймфорков, имеющих защиту;

- использование Anti-CSRF токенов;

- применение пары токенов;

- использование Same-Site в cookies.

Необходимость быть осторожным никто не отменял – соблюдая эти нехитрые правила можно обезопаситься от мошенничества.