Hur förhindrar jag förfalskning på plats?
En förfalskning på olika platser (XSRF eller CSRF), även känd med många olika namn, inklusive förfalskning på olika platser, session ridning och ett klickattack, är en svår typ av webbplatsutnyttjande att förhindra. Det fungerar genom att lura en webbläsare att skicka obehöriga kommandon till en fjärrserver. Attacker på olika ställen fungerar endast mot användare som har loggat in på webbplatser med autentiska referenser; Som ett resultat kan utloggning från webbplatser vara en enkel och effektiv förebyggande åtgärd. Webbutvecklare kan använda slumpmässigt genererade tokens för att förhindra denna typ av attack, men bör undvika att kontrollera referensen eller förlita sig på cookies.
Det är vanligt att förfalskningar över andra webbplatser riktar sig till webbläsare i det som kallas en "förvirrad ställföreställning." Trots att han agerar på användarens vägnar luras webbläsaren till att skicka obehöriga kommandon till en fjärrserver. Dessa kommandon kan döljas inuti till synes oskyldiga delar av en webbs sidas markeringskod, vilket innebär att en webbläsare som försöker ladda ner en bildfil faktiskt skickar kommandon till en bank, en återförsäljare eller ett socialt nätverkssida. Vissa webbläsare inkluderar nu åtgärder avsedda att förhindra förfalskningar på flera ställen, och tredjepartsprogrammerare har skapat tillägg eller plugins som saknar dessa åtgärder. Det kan också vara en bra idé att stänga av HyperText Markup Language-e-post (HTML) i din föredragna klient eftersom dessa program också är sårbara för förfalskningar på plats.
Eftersom förfalskningar över flera webbplatser förlitar sig på användare som har legitimt loggat in på en webbplats. Med det i åtanke är ett av de enklaste sätten att förhindra en sådan attack helt enkelt logga ut från webbplatser som du är klar med. Många webbplatser som hanterar känslig information, inklusive banker och mäklarföretag, gör detta automatiskt efter en viss inaktivitetsperiod. Andra webbplatser tar motsatt tillvägagångssätt och tillåter användare att ständigt logga in i dagar eller veckor. Även om du kanske tycker detta är praktiskt, utsätter det dig för CSRF-attacker. Leta efter alternativet "kom ihåg mig på den här datorn" eller "Håll mig inloggad" och inaktivera det och se till att klicka på utloggningslänken när du har slutfört en session.
För webbutvecklare kan eliminera sårbarheter på olika ställen vara en särskilt utmanande uppgift. Kontroll av referens- och cookieinformation ger inte mycket skydd eftersom CSRF-utnyttjande drar nytta av legitima användaruppgifter och denna information är lätt att förfalska. Ett bättre tillvägagångssätt skulle vara att slumpmässigt generera ett symbol för engångsbruk varje gång en användare loggar in och kräva att tokenet inkluderas i alla begäranden som skickas av användaren. För viktiga förfrågningar som köp eller överföringar av pengar kan en användare att ange användarnamn och lösenord hjälpa till att säkerställa äktheten av begäran.