Cross-Site Request Forgery (CSRF)
CSRF (Cross-Site Request Forgery) to atak na aplikacje internetowe, ktory pozwala hakerom na wykorzystanie zaufania użytkownika w stosunku do strony internetowej, rozsyłając krótkie i czasem niepozorne linki. Atak polega na tym, że użytkownik klikając w taki link wykonuje nieświadomie określone działania na stronie internetowej, a te działania mogą doprowadzić do poważnych konsekwencji, takich jak kradzież informacji o użytkowniku, zmiana konta, usunięcie lub modyfikacja istniejącego konta itp.
Schemat działania jest prosty i polega na wykorzystaniu związku zaufania pomiędzy użytkownikiem a stroną internetową, której przecież zaufał i której poświęcił swój czas. Atakujący, wykorzystując lukę w zabezpieczeniach, wyśle do użytkownika link, który ten kliknie, a przy okazji wykona dla niego specjalną czynność - np. wypłaci pieniądze z konta, wprowadzi zmiany w informacjach osobistych, itp.
Aby uchronić się przed atakami CSRF, należy stosować takie rozwiązania jak tokeny CSRF lub zabezpieczanie żądań metodą Same Origin Policy. Token CSRF (Cross-Site Request Forgery) to specjalny token, który jest generowany przez serwer, a następnie przypisywany do użytkownika - dzięki temu hakerzy nie mogą podszyć się pod żądanie pochodzące od użytkownika, który nie ma dostępu do danego żądania.
Ważne, jest aby nasza strona posiadała zabezpieczenia przed atakami CSRF, gdyż inaczej możemy doświadczyć różnych nieprzyjemnych sytuacji, w tym nawet utratę dużych kwot pieniędzy.