O que é CSFR? Saiba para ele serve, como funciona e descubra uma solução!
Construir uma aplicação WEB requer muito além de apenas conhecimento em programação. É necessário construir uma aplicação segura, e isto é uma tarefa árdua, já que hoje em dia nos deparamos com diversos tipos de ataques, como por exemplo, do tipo CSRF, que aproveitam de qualquer vulnerabilidade para roubar informações.
Portanto, se quisermos agir antes de tudo para deixar páginas seguras, é preciso de fato conhecer os tipos de ataques que podem causar danos. Enfim, vamos falar sobre o que é CSRF, analisando o seu conceito e funcionamento a fim de nos aprofundar no assunto.
Entenda melhor do que se trata
O CSRF (Cross-Site Request Forgery) é um tipo de ataque que tem como objetivo inserir requisições em sessões que já estejam abertas pelo usuário.
Em resumo, um ataque CSRF ocorre quando a vítima executa um script, sem perceber, no seu navegador, e este script explora a sessão iniciada em um determinado site.
Descubra para que serve
Este ataque serve para o invasor fazer movimentações financeiras ou transações online, alterar senhas de acesso do usuário vítima, alterar dados pessoais da vítima.
As aplicações vulneráveis ao CSRF são exploradas por meio de algumas etapas, como por exemplo:
- O usuário recebe um link contendo o aplicativo malicioso;
- Ele usa o mesmo navegador e acessa um aplicativo malicioso;
- O link malicioso que foi navegado pelo usuário inclui uma determinada requisição na aplicação que será alvo do ataque e carrega os parâmetros para executar uma transação.
Como funciona e exemplos
Para entendermos melhor esta vulnerabilidade, vamos exemplificar, conforme a seguir:
O atacante pode fazer uma referência a alguma URL dentro de um outro aplicativo, sobretudo convidando a sua vítima a fazer acesso a esta URL, sem que ela saiba a real intenção do seu ataque.
Então, uma tentativa seria usar um link ou imagem enviado por e-mail, como por exemplo: “Visite minhas fotos”.
Em conclusão, uma grande “estratégia” nada intencional.
Exemplo:
João envia para Ana um e-mail, contendo uma referência maliciosa, por meio de uma imagem camuflada ou um link:
img src= http://banco.co/transferir.do?acct=ataque=1000 width= “1” height= “1”>
Ou
a href=http://banco.co/transferir.do?acct=ataque=1000>
Ana não irá perceber nada de errado, e irá acessar a referência e o seu navegador submeterá a requisição sem que a vítima perceba, e se Ana estiver logada em seu internet banking, a transação maliciosa será concluída com sucesso.
Algumas formas mais comuns utilizadas para explorar aplicações vulneráveis ao CSRF são:
- Por meio das TAGs do HTML, como: · script src=”http://host/?command??
- Por meio de códigos do javascript, inserindo scripts dentro da aplicação que esteja vulnerável.
Solução
Uma forma de prevenir ataques do tipo CSRF é adotando um tipo de Token, ou seja, se insere no documento HTML e gera-se uma identificação aleatória.
Sendo assim, pode-se autenticar as informações armazenadas na sessão para que cada transação se execute conforme um comando.
Leia também: Brasil é um dos países mais expostos a crimes na internet na América Latina.
Em resumo, quando algum formulário for submetido, será garantido que o token estará presente e que o seu valor será coincidente com o valor do token que estiver guardado em sessão.
Ademais, algumas linguagens de programação já possuem funções específicas para gerar tokens longos e aleatórios.
Quer seguir carreira na área de Segurança da Informação? Este artigo é para você: Carreiras e Certificações de Segurança da Informação
Se acaso ficou alguma dúvida, deixe nos comentários.
Nós, da PMG Academy, vamos adorar te responder. Até mais!
Artigos Relacionados