Hvordan kan jeg forhindre Cross-Site Forfalskning?

November 5  by Eliza

En cross-site forfalskning (XSRF eller CSRF), også kjent under en rekke navn inkludert cross-site request forfalskning, session ridning, og ett klikk angrep, er en vanskelig type nettsted utnytte for å forebygge. Den opererer ved å lure en nettleser til å sende uautoriserte kommandoer til en ekstern server. Cross-site forfalskning angrep bare jobbe mot brukere som har logget inn nettsteder med autentiske legitimasjon; som et resultat, kan logge ut av nettsteder være en enkel og effektiv forebyggende tiltak. Webutviklere kan bruke tilfeldige symboler for å bidra til å forhindre denne typen angrep, men bør unngå å sjekke referent eller stole på informasjonskapsler.

Det er vanlig for cross-site forfalskning exploits å målrette nettlesere i det som er kjent som en "forvirret nestleder angrep." Tro skal opptre på vegne av brukeren, er nettleseren lures til å sende uautoriserte kommandoer til en ekstern server. Disse kommandoene kan skjules inne tilsynelatende uskyldige deler av en sidens markup kode, noe som betyr at en nettleser prøver å laste ned en bildefil kan faktisk være å sende kommandoer til en bank, Internett-forhandler, eller nettsamfunn. Noen nettlesere inkluderer nå tiltak for å hindre cross-site forfalskning angrep, og tredjeparts programmerere har skapt utvidelser eller plugins som mangler disse tiltakene. Det kan også være en god idé å slå av Hypertext Markup Language (HTML) e-post i din foretrukne klient fordi disse programmene er også sårbare for cross-site forfalskning angrep.

Siden cross-site forfalskning angrep stole på brukere som har legitimt logget på en nettside. Med det i tankene en av de enkleste måtene å forebygge et slikt angrep er å bare logge ut av nettsteder som du er ferdig med å bruke. Mange nettsteder som omhandler sensitive data, inkludert banker og meglerhus, gjør dette automatisk etter en viss periode med inaktivitet. Andre steder tar det motsatte tilnærmingen og tillate brukere å være vedvarende logget inn for dager eller uker. Selv om du kanskje synes dette praktisk, det gjør utsette deg for CSRF-angrep. Se etter en "husk meg på denne datamaskinen" eller "hold meg innlogget" og deaktivere den, og sørg for å klikker du logge ut linken når du har fullført en økt.

For webutviklere, kan eliminere cross-site forfalskning sårbarheter være en spesielt utfordrende oppgave. Kontrollere referent og cookie-informasjon gir ikke mye beskyttelse fordi CSRF utnytter dra nytte av legitime brukerlegitimasjon og denne informasjonen er lett å forfalske. En bedre tilnærming ville være å tilfeldig generere en engangs token hver gang en bruker logger inn, og krever at symbol inkluderes med en forespørsel sendt av brukeren. For viktige forespørsler som kjøp eller overføringer, noe som krever en bruker å oppgi brukernavn og passord kan bidra til å sikre ektheten av forespørselen.