Hasło słownika

CSRF

Atak, w którym przeglądarka zalogowanego użytkownika wykonuje niechcianą akcję bez jego świadomości.

Cyberbezpieczeństwokategoria
1aliasy
Kategoria: Cyberbezpieczeństwo
Aliasy: Cross-Site Request Forgery

Opis

CSRF wykorzystuje to, że przeglądarka automatycznie dołącza cookies. Obrona: tokeny CSRF, same-site cookies, weryfikacja origin/referer i wymaganie ponownego uwierzytelnienia dla krytycznych akcji.

Przykłady

  • Ukryty formularz zmienia adres e-mail w profilu.
  • Link wysyła żądanie przelewu w panelu.
  • Atak działa, bo endpoint nie sprawdza tokenu.
OWASP Top 10XSSMFAPrzejęcie sesji