Zatrzymaj ataki typu cross-site request fałszerstwa
Cross-Site Request Forgery (CRSF) to poważny problem bezpieczeństwa, który umożliwia atakującemu wykonanie różnych złośliwych działań. Należą do nich opróżnianie kont bankowych, zmiana haseł, kradzież informacji lub cokolwiek pomiędzy. Na przykład w świecie bankowym atakujący może użyć pustego hasła, aby otworzyć konto bankowe i ukraść pieniądze.
Problem z atakami CRSF polega na tym, że każdy może je łatwo wykonać. W rzeczywistości, nawet jeśli witryna korzysta z tej samej nazwy domeny, może podlegać zupełnie innej strukturze administracyjnej. Dlatego bardzo ważne jest, aby zabezpieczyć dane logowania i upewnić się, że użytkownik jest uwierzytelniony przed wykonaniem jakiejkolwiek czynności.
Jednak, chociaż uwierzytelnianie użytkownika jest z pewnością ważne, istnieje inny wektor ataku, który jest jeszcze bardziej niebezpieczny . Nazywa się to Cross-Site Request Forgery (CRSF). Jest to metoda, która umożliwia atakującemu przesłanie złośliwego kodu, który zostanie wykonany w kontekście sesji użytkownika. Dopóki ten użytkownik jest zalogowany na stronie internetowej, będzie on wykonywany bez możliwości stawienia mu oporu.
Aby zatrzymać CRSF, musisz zabezpieczyć dane logowania dostarczone do strony internetowej przez użytkownika . Tak więc, jeśli witryna żąda informacji z urządzenia użytkownika, nie zostanie im przekazana, dopóki nie zostanie uwierzytelniona.
Pozwala to powstrzymać atak, który może doprowadzić do kradzieży tożsamości, a nawet strat finansowych.
Opinie użytkowników o No-CSRF
Czy próbowałeś No-CSRF? Bądź pierwszy zostawić swoją opinię!