¿Cómo prevení la falsificación de sitios cruzados?
Una falsificación de sitios cruzados (XSRF o CSRF), también conocido por una variedad de nombres que incluyen falsificación de solicitudes de sitios cruzados, conducción de sesión y un ataque con un solo clic, es un tipo difícil de explotación de sitio web para prevenir. Funciona engañando a un navegador web para enviar comandos no autorizados a un servidor remoto. Los ataques de falsificación entre sitios solo funcionan contra usuarios que han iniciado sesión en sitios web con credenciales auténticas; Como resultado, la sesión fuera de los sitios web puede ser una medida preventiva simple y efectiva. Los desarrolladores web pueden usar tokens generados aleatoriamente para ayudar a prevenir este tipo de ataque, pero deben evitar verificar el referente o confiar en las cookies.
Es común que los exploits de falsificación de sitios cruzados se dirigen a los navegadores web en lo que se conoce como un "ataque adjunto confundido". Creyendo que está actuando en nombre del usuario, el navegador se engaña para que envíe comandos no autorizados a un servidor remoto. Estos comandos se pueden ocultar dentro de partes aparentemente inocentes del código de marcado de una página web, lo que significa que una cejaSer intentando descargar un archivo de imagen podría estar enviando comandos a un banco, minorista en línea o sitio de redes sociales. Algunos navegadores ahora incluyen medidas diseñadas para prevenir ataques de falsificación de sitios cruzados, y los programadores de terceros han creado extensiones o complementos que carecen de estas medidas. También puede ser una buena idea desactivar el correo electrónico del lenguaje de marcado de hipertexto (HTML) en su cliente preferido porque estos programas también son vulnerables a los ataques de falsificación de sitios cruzados.
Dado que los ataques de falsificación de sitios cruzados confían en los usuarios que han iniciado sesión legítimamente en un sitio web. Con eso en mente, una de las formas más fáciles de evitar tal ataque es simplemente cerrar la sesión de los sitios que ha terminado de usar. Muchos sitios que tratan con datos confidenciales, incluidos bancos y empresas de corretaje, lo hacen automáticamente después de un cierto período de inactividad. Otros sitios adoptan el enfoque opuesto y permiten a los usuarios ser PersiIniciado de manera estancada durante días o semanas. Aunque puede encontrar esto conveniente, lo expone a los ataques CSRF. Busque una opción "Recuérdame en esta computadora" o "Mantenme iniciado sesión" y desactívela, y asegúrese de hacer clic en el enlace de cierre de sesión cuando hayas completado una sesión.
Para los desarrolladores web, eliminar las vulnerabilidades de falsificación de sitios cruzados puede ser una tarea particularmente desafiante. La comprobación de la información del referente y las cookies no proporciona mucha protección porque las exploits CSRF aprovechan las credenciales legítimas de los usuarios y esta información es fácil de falsificar. Un mejor enfoque sería generar aleatoriamente un token de uso único cada vez que un usuario inicie sesión, y requerir que el token se incluya con cualquier solicitud enviada por el usuario. Para solicitudes importantes como compras o transferencias de fondos, requerir que un usuario vuelva a ingresar el nombre de usuario y la contraseña puede ayudar a garantizar la autenticidad de la solicitud.