Jak zapobiegać fałszowaniu w różnych witrynach?
Fałszowanie witryn (XSRF lub CSRF), znane również pod różnymi nazwami, w tym fałszowanie żądań witryny, jazda sesyjna i atak jednym kliknięciem, jest trudnym typem witryny, której należy zapobiegać. Działa poprzez oszukiwanie przeglądarki internetowej w celu wysyłania nieautoryzowanych poleceń do zdalnego serwera. Ataki typu „fałszowanie witryn” działają tylko na użytkowników, którzy zalogowali się na stronach internetowych z autentycznymi poświadczeniami; w rezultacie wylogowanie ze stron internetowych może być prostym i skutecznym środkiem zapobiegawczym. Twórcy stron internetowych mogą używać losowo generowanych tokenów, aby zapobiec tego typu atakom, ale powinni unikać sprawdzania strony odsyłającej lub polegania na plikach cookie.
Programy typu „fałszowanie witryn” atakują przeglądarki internetowe w tak zwanym „zdezorientowanym ataku zastępcy”. Wierząc, że działa w imieniu użytkownika, przeglądarka jest oszukana w wysyłaniu nieautoryzowanych poleceń na zdalny serwer. Te polecenia mogą być ukryte w pozornie niewinnych częściach kodu znaczników strony internetowej, co oznacza, że przeglądarka próbująca pobrać plik obrazu może faktycznie wysyłać polecenia do banku, sprzedawcy internetowego lub serwisu społecznościowego. Niektóre przeglądarki zawierają teraz środki zaprojektowane w celu zapobiegania atakom typu „fałszowanie witryn”, a programiści zewnętrzni utworzyli rozszerzenia lub wtyczki, w których brakuje tych środków. Dobrym pomysłem może być również wyłączenie poczty e-mail HyperText Markup Language (HTML) w preferowanym kliencie, ponieważ programy te są również podatne na ataki typu „cross-site fałszerstwo”.
Ponieważ ataki fałszowania między witrynami polegają na użytkownikach, którzy legalnie zalogowali się na stronie internetowej. Mając to na uwadze, jednym z najprostszych sposobów zapobiegania takiemu atakowi jest po prostu wylogowanie się z witryn, z których już skończyłeś. Wiele witryn zajmujących się wrażliwymi danymi, w tym banki i firmy maklerskie, robi to automatycznie po pewnym okresie bezczynności. Inne witryny przyjmują odwrotne podejście i pozwalają użytkownikom na ciągłe logowanie przez kilka dni lub tygodni. Chociaż może być to wygodne, naraża cię na ataki CSRF. Poszukaj opcji „zapamiętaj mnie na tym komputerze” lub „nie wylogowuj mnie” i wyłącz ją, a po zakończeniu sesji kliknij link wylogowania.
Dla twórców stron internetowych eliminacja podatności na fałszowanie witryn może być szczególnie trudnym zadaniem. Sprawdzanie informacji o odsyłaczach i plikach cookie nie zapewnia dużej ochrony, ponieważ exploity CSRF wykorzystują wiarygodne dane uwierzytelniające użytkownika, a informacje te można łatwo sfałszować. Lepszym rozwiązaniem byłoby losowe generowanie tokena jednorazowego użytku za każdym razem, gdy użytkownik się loguje, i wymaganie, aby token był dołączany do każdego żądania wysłanego przez użytkownika. W przypadku ważnych żądań, takich jak zakupy lub transfery środków, wymaganie od użytkownika ponownego wprowadzenia nazwy użytkownika i hasła może pomóc zapewnić autentyczność żądania.