Hvordan forhindrer jeg forfalskning på tværs?
En forfalskning på tværs af sted (XSRF eller CSRF), også kendt af en række navne, herunder anmodning om forfalskning på tværs af, session ridning og et-klik-angreb, er en vanskelig type webstedudnyttelse for at forhindre. Det fungerer ved at narre en webbrowser til at sende uautoriserede kommandoer til en fjernserver. Forfalskningsangreb på tværs af steder fungerer kun mod brugere, der har logget ind på websteder med autentiske legitimationsoplysninger; Som et resultat kan logning af websteder være en enkel og effektiv forebyggende foranstaltning. Webudviklere kan bruge tilfældigt genereret tokens til at hjælpe med at forhindre denne type angreb, men bør undgå at kontrollere henviseren eller stole på cookies.
Det er almindeligt, at Sploy-udnyttelser på tværs af stedet er målrettet til at målrette webbrowsere i det, der er kendt som et "forvirret stedfortræder." Ved at tro på at handle på brugerens vegne bliver browseren narret til at sende uautoriserede kommandoer til en fjernserver. Disse kommandoer kan være skjult inde i tilsyneladende uskyldige dele af en webside's markeringskode, hvilket betyder, at en pandeSer, der prøver at downloade en billedfil, kan faktisk sende kommandoer til en bank, onlineforhandler eller socialt netværkssite. Nogle browsere inkluderer nu foranstaltninger, der er designet til at forhindre forfalskningsangreb på tværs af stedet, og tredjepartsprogrammerere har oprettet udvidelser eller plugins, der mangler disse foranstaltninger. Det kan også være en god ide at slukke for hypertekst-markeringssprog (HTML) e-mail i din foretrukne klient, fordi disse programmer også er sårbare over for forfalskningsangreb på tværs af stedet.
Siden forfalskningsangreb på tværs er afhængige af brugere, der legitimt har logget ind på et websted. Med det i tankerne er en af de nemmeste måder at forhindre et sådant angreb på blot at logge ud af websteder, som du er færdig med at bruge. Mange steder, der beskæftiger sig med følsomme data, herunder banker og mæglervirksomheder, gør dette automatisk efter en bestemt periode med inaktivitet. Andre websteder tager den modsatte tilgang og giver brugerne mulighed for at være persiLogged stalt ind i dage eller uger. Selvom du måske finder dette praktisk, udsætter det dig for CSRF -angreb. Se efter en "Husk mig på denne computer" eller "Hold Me Logged In" mulighed og deaktiver den, og sørg for at klikke på Log Out -linket, når du har afsluttet en session.
For webudviklere kan det være en særlig udfordrende opgave at eliminere sårbarheder på tværs af forfalskning. Kontrol af henvisnings- og cookieoplysninger giver ikke meget beskyttelse, fordi CSRF -udnyttelser drager fordel af legitime brugeroplysninger, og disse oplysninger er let at forfalde. En bedre tilgang ville være at tilfældigt generere et engangs-token, hver gang en bruger logger ind, og kræver, at tokenet inkluderes i enhver anmodning, der sendes af brugeren. For vigtige anmodninger som køb eller fondsoverførsler, kan det hjælpe en bruger til at genindføre brugernavn og adgangskode med at sikre autenticiteten af anmodningen.