Estendemos o Black Friday! 🔥🔥🔥

Agora, termina em:

Dia
Horas
Minutos
Segundos
Search
Close this search box.

O que é CSFR?

Picture of Adriano Martins Antonio

Adriano Martins Antonio

em 14 de maio de 2020
O Que é CSFR?

Fique ligado

​Entre para nossa lista e receba conteúdos exclusivos e com prioridade

O que é CSFR? Saiba para ele serve, como funciona e descubra uma solução!

Construir uma aplicação WEB requer muito além de apenas conhecimento em programação. É necessário construir uma aplicação segura, e isto é uma tarefa árdua, já que hoje em dia nos deparamos com diversos tipos de ataques, como por exemplo, do tipo CSRF, que aproveitam de qualquer vulnerabilidade para roubar informações.

Portanto, se quisermos agir antes de tudo para deixar páginas seguras, é preciso de fato conhecer os tipos de ataques que podem causar danos. Enfim, vamos falar sobre o que é CSRF, analisando o seu conceito e funcionamento a fim de nos aprofundar no assunto.

Entenda melhor do que se trata

O CSRF (Cross-Site Request Forgery) é um tipo de ataque que tem como objetivo inserir requisições em sessões que já estejam abertas pelo usuário.

Em resumo, um ataque CSRF ocorre quando a vítima executa um script, sem perceber, no seu navegador, e este script explora a sessão iniciada em um determinado site.

Homem hacker usando computador para invadir outros sistemas conforme CSFR
Embora tentamos nos proteger, às vezes acabamos sendo vítimas de ataques

Descubra para que serve

Este ataque serve para o invasor fazer movimentações financeiras ou transações online, alterar senhas de acesso do usuário vítima, alterar dados pessoais da vítima.

As aplicações vulneráveis ao CSRF são exploradas por meio de algumas etapas, como por exemplo:

  • O usuário recebe um link contendo o aplicativo malicioso;
  • Ele usa o mesmo navegador e acessa um aplicativo malicioso;
  • O link malicioso que foi navegado pelo usuário inclui uma determinada requisição na aplicação que será alvo do ataque e carrega os parâmetros para executar uma transação.

Como funciona e exemplos

Para entendermos melhor esta vulnerabilidade, vamos exemplificar, conforme a seguir:

O atacante pode fazer uma referência a alguma URL dentro de um outro aplicativo, sobretudo convidando a sua vítima a fazer acesso a esta URL, sem que ela saiba a real intenção do seu ataque.

Então, uma tentativa seria usar um link ou imagem enviado por e-mail, como por exemplo: “Visite minhas fotos”.

Em conclusão, uma grande “estratégia” nada intencional.

Exemplo:

João envia para Ana um e-mail, contendo uma referência maliciosa, por meio de uma imagem camuflada ou um link:

img src= http://banco.co/transferir.do?acct=ataque=1000 width= “1” height= “1”>

Ou

a href=http://banco.co/transferir.do?acct=ataque=1000>

Ana não irá perceber nada de errado, e irá acessar a referência e o seu navegador submeterá a requisição sem que a vítima perceba, e se Ana estiver logada em seu internet banking, a transação maliciosa será concluída com sucesso.

Algumas formas mais comuns utilizadas para explorar aplicações vulneráveis ao CSRF são:

  • Por meio das TAGs do HTML, como: · script src=”http://host/?command??
  • Por meio de códigos do javascript, inserindo scripts dentro da aplicação que esteja vulnerável.

Solução

Uma forma de prevenir ataques do tipo CSRF é adotando um tipo de Token, ou seja, se insere no documento HTML e gera-se uma identificação aleatória.

Sendo assim, pode-se autenticar as informações armazenadas na sessão para que cada transação se execute conforme um comando.

Leia também: Brasil é um dos países mais expostos a crimes na internet na América Latina.

Em resumo, quando algum formulário for submetido, será garantido que o token estará presente e que o seu valor será coincidente com o valor do token que estiver guardado em sessão.

Ademais, algumas linguagens de programação já possuem funções específicas para gerar tokens longos e aleatórios.

Quer seguir carreira na área de Segurança da Informação? Este artigo é para você: Carreiras e Certificações de Segurança da Informação

Se acaso ficou alguma dúvida, deixe nos comentários.

Nós, da PMG Academy, vamos adorar te responder. Até mais!

Facebook
Twitter
LinkedIn

Artigos Relacionados

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *