¿Qué es la falsificación de solicitudes entre sitios (csrf)? - definición de techopedia

Definición: ¿Qué significa falsificación de solicitudes entre sitios (CSRF)?

La falsificación de solicitudes entre sitios (CSRF) es un tipo de explotación de sitios web realizada mediante la emisión de comandos no autorizados de un usuario de un sitio web de confianza. CSRF explota la confianza de un sitio web para el navegador de un usuario en particular, a diferencia de las secuencias de comandos entre sitios, que explota la confianza del usuario para un sitio web.

Este término también se conoce como sesión de conducción o ataque con un clic.

Techopedia explica la falsificación de solicitudes entre sitios (CSRF)

Un CSRF generalmente usa el comando "GET" de un navegador como punto de explotación. Los falsificadores de CSR usan etiquetas HTML como "IMG" para inyectar comandos en un sitio web específico. Un usuario particular de ese sitio web se utiliza como host y cómplice involuntario. A menudo, el sitio web no sabe que está bajo ataque, ya que un usuario legítimo está enviando los comandos. El atacante podría emitir una solicitud para transferir fondos a otra cuenta, retirar más fondos o, en el caso de PayPal y sitios similares, enviar dinero a otra cuenta.

Un ataque CSRF es difícil de ejecutar porque deben suceder varias cosas para que tenga éxito:

• El atacante debe apuntar a un sitio web que no verifica el encabezado de referencia (que es común) o un usuario / víctima con un navegador o un error de complemento que permite la suplantación de referencias (lo cual es raro).
• El atacante debe ubicar un envío de formulario en el sitio web de destino, que debe ser capaz de hacer algo como cambiar las credenciales de inicio de sesión de la dirección de correo electrónico de la víctima o hacer transferencias de dinero.
• El atacante debe determinar los valores correctos para todas las entradas del formulario o URL. Si se requiere que cualquiera de ellos sean valores secretos o identificaciones que el atacante no pueda adivinar con precisión, el ataque fallará.
• El atacante debe atraer al usuario / víctima a una página web con código malicioso mientras la víctima inicia sesión en el sitio de destino.

Por ejemplo, suponga que la Persona A está navegando por su cuenta bancaria mientras también está en una sala de chat. Hay un atacante (Persona B) en la sala de chat que se entera de que la Persona A también ha iniciado sesión en bank.com. La persona B atrae a la persona A a hacer clic en un enlace para obtener una imagen divertida. La etiqueta "IMG" contiene valores para las entradas de formulario de bank.com, que transferirán efectivamente una cierta cantidad de la cuenta de la persona A a la cuenta de la persona B. Si bank.com no tiene una autenticación secundaria para la Persona A antes de que se transfieran los fondos, el ataque tendrá éxito.