O Que é CSFR?

Adriano Martins Antonio

Adriano Martins Antonio

em 14 de maio de 2020
O Que é CSFR?

Fique ligado

​Entre para nossa lista e receba conteúdos exclusivos e com prioridade

O Que é CSFR?

Construir uma aplicação WEB requer muito além de apenas conhecimento em programação. É necessário construir uma aplicação segura, e isto é uma tarefa árdua, já que hoje em dia nos deparamos com diversos tipos de ataques que aproveitam de qualquer vulnerabilidade para roubar informações. Portanto, se quisermos agir para deixar páginas seguras, é preciso conhecer os tipos de ataques que podem causar danos. Hoje vamos falar sobre o CSRF, analisando o seu conceito e funcionamento.

  • O que é

O CSRF (Cross-Site Request Forgery) é um tipo de ataque que tem como objetivo inserir requisições em sessões que já estejam abertas pelo usuário.

Em resumo, um ataque CSRF ocorre quando a vítima executa um script, sem perceber, no seu navegador, e este script explora a sessão iniciada em um determinado site.

  • Para que serve

Este ataque serve para o invasor fazer movimentações financeiras ou transações online, alterar senhas de acesso do usuário vítima, alterar dados pessoais da vítima.

As aplicações vulneráveis ao CSRF são exploradas por meio de algumas etapas, como por exemplo:

  • O usuário recebe um link contendo o aplicativo malicioso
  • Ele usa o mesmo navegador e acessa um aplicativo malicioso
  • O link malicioso que foi navegado pelo usuário inclui uma determinada requisição na aplicação que será alvo do ataque, e carrega os parâmetros para executar uma transação.
  • Como funciona e exemplos

Para entendermos melhor esta vulnerabilidade, vamos exemplificar, conforme a seguir:
O atacante pode fazer uma referência a alguma URL dentro de um outro aplicativo, convidando a sua vítima a fazer acesso a esta URL, sem que ela saiba a real intenção do seu ataque.
Uma tentativa, seria usar um link ou imagem enviado por e-mail, como por exemplo: “Visite minhas fotos”.

Curso GRÁTIS: Curso Online ISO 27001 Overview

Exemplo:

João envia para Ana um e-mail, contendo uma referência maliciosa, por meio de uma imagem camuflada ou um link:

img src= http://banco.co/transferir.do?acct=ataque=1000 width= “1” height= “1”>

Ou

a href=http://banco.co/transferir.do?acct=ataque=1000>

Ana não irá perceber nada de errado, e irá acessar a referência e o seu navegador submeterá a requisição sem que a vítima perceba, e se Ana estiver logada em seu internet banking, a transação maliciosa será concluída com sucesso.
Algumas formas mais comuns utilizadas para explorar aplicações vulneráveis ao CSRF são:

  • Por meio das TAGs do HTML, como: · script src=”http://host/?command??
  • Por meio de códigos do javascript, inserindo scripts dentro da aplicação que esteja vulnerável.

Solução

Uma forma de prevenir ataques do tipo CSRF é adotando um tipo de Token, que são inseridos no documento HTML, e que geram uma identificação aletarória, autenticando as informações armazenadas na sessão para cada vez que uma transação for executada.

Em resumo, quando algum formulário for submetido será garantido que o token estará presente, e que o seu valor será coincidente com o valor do token que estiver guardado em sessão

Algumas linguagens de programação já possuem funções específicas para gerar tokens longos e aleatórios.

Quer seguir carreira na área de Segurança da Informação? Este artigo é para você: Carreiras e Certificações de Segurança da Informação

 

Compartilhar no facebook
Facebook
Compartilhar no google
Google+
Compartilhar no twitter
Twitter
Compartilhar no linkedin
LinkedIn

Artigos Relacionados

Manifesto ágil
Artigos
Henrique Mata

O Manifesto Ágil!

O Manifesto Ágil! Lembra que falamos sobre o movimento da agilidade no post anterior? Então,

Leia Mais »

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

×

Olá Visitante! 😊 Você têm: Expirado!
00 Days
00 Hrs
00 Mins
00 Secs
para aproveitar o desconto de 15% (apenas nos cursos) Resgatar Agora!

@

Não ativo recentemente
X
X
X