Куда я попал?
CSRF (XSRF, cross-site request forgery, межсайтовая подделка запроса) - вид атак на посетителей веб-сайтов, использующий недостатки протокола HTTP. Если жертва заходит на сайт, созданный злоумышленником, от её лица тайно отправляется запрос на другой сервер (например, на сервер платёжной системы), осуществляющий некую вредоносную операцию (например, перевод денег на счёт злоумышленника). Для осуществления данной атаки жертва должна быть аутентифицирована на том сервере, на который отправляется запрос, и этот запрос не должен требовать какого-либо подтверждения со стороны пользователя, которое не может быть проигнорировано или подделано атакующим скриптом.
Подробнее на OWASP
Подробнее на OWASP
БДУ ФСТЭК:
УБИ.042
Угроза межсайтовой подделки запроса
Угроза заключается в возможности отправки нарушителем дискредитируемому пользователю ссылки на содержащий вредоносный код веб-ре...
Связанные риски
| Риск | Связи | |
|---|---|---|
|
Заражение вредоносным программным обеспечением из-за
возможности проведения межсайтовой подделки запроса CSRF в веб-сайте
Доступность
Конфиденциальность
Отказ в обслуживании
Повышение привилегий
Раскрытие информации
Целостность
Искажение
|
1 | |
|
Раскрытие ключей (паролей) доступа из-за
возможности проведения межсайтовой подделки запроса CSRF в веб-сайте
Конфиденциальность
Повышение привилегий
Раскрытие информации
Подмена пользователя
|
1 |