Cross-Site Request Forgery (CSRF)
Cross-Site Request Forgery (zkráceně CSRF) je zranitelnost softwarových aplikací, která umožňuje útočníkovi využít autorizační informace účtu oběti a provést neoprávněné akce na stránkách, které daný účet používá.
Zjednodušeně řečeno, CSRF umožňuje útočníkovi ovládat účet uživatele beze souhlasu uživatele sám. Jak to funguje? Například, uživatel se přihlásí ke svému účtu na webu a aplikace mu vydává autorizační token. Když uživatel odešle požadavek (například kliknutím na tlačítko), aplikace ověří, zda je požadavek opravdu od uživatele, takže použije autorizační token k ověření.
Útočník využít CSRF útočí např. takto: Vytvoří falešnou stránku, kde je skrytý kód, který automaticky posílá požadavek na web s cílem provést neoprávněnou akci (např. změna hesla). Poté útočník posílá odkaz k nalezení této stránky oběti. Pokud se oběť na odkaz klikne a má otevřenou svou aplikaci, spustí se kód na falešné stránce a pošle požadavek s autorizačními informacemi oběti.
BSFR může vést k různým nebezpečným scénářům, mezi něž patří např.:
- Útok na e-shop – útočník může nakoupit věci na účet oběti;
- Útok na bankovní aplikaci – převod peněz na účet útočníka;
- Útok na sociální sítě – zveřejnění informací v oběti účet;
- Útok na webovou poštu – mazání pošty oběti.
Aby se uživatelé mohli chránit před CSRF útoky, je důležité:
- Používat silná hesla s kombinací velkých a malých písmen, čísel a speciálních symbolů;
- Použít aplikace nebo rozšíření pro prohlížeč, které blokují CSRF útoky;
- Nikdy neklikněte na odkazy od neznámých odesílatel