-
O CSRF (do inglês Cross-site request forgery- Falsificação de solicitação entre sites) é um tipo de ataque informático malicioso a um website no qual comandos não autorizados são transmitidos através de um utilizador em quem o website confia.[1] Em contraste com o cross-site scripting (XSS), que explora a confiança de um utilizador para um site particular, o CSRF explora a confiança que um website tem do navegador do usuário.
-
Um ataque CSRF consiste em inserir requisições em uma sessão já aberta pelo usuário.
algumas formas de prevenção:
Mitigação com controles alternativos
Outros controles que não tokens, nem combinação de cookies com corpo da resposta ajudam a prevenir ataques que exploram o CSRF. São eles:
Validação do cabeçalho "Referer": Sim, é simples e ajuda bastante. Um atacante não consegue modificar o cabeçalho "Referer". Uma tentativa de ataque de CSRF vai trazer na requisição que o site que originou a requisição é "malicioso.com.br" e não "banco.com.br";
Verificar o cabeçalho "Origin": Parecido com o "Referer", mas diferente. O cabeçalho Origin foi criado para prevenir ataques entre domínios e, diferentemente do "Referer", o cabeçalho Origin é enviado mesmo em requisições HTTP originadas de URLs em HTTPS;
Adicionar um Captcha: Visto que o Captcha mitiga ataques automatizados, ele também serve para bloquear ataques CSRF, porque o Captcha tem que ser preenchido corretamente.
veja mais em:
https://dadario.com.br/csrf-o-que-e/
-
Em contraste com o cross-site scripting (XSS), que explora a confiança de um utilizador para um site particular, o CSRF explora a confiança que um website tem do navegador do usuário.
-
http://blog.caelum.com.br/protegendo-sua-aplicacao-web-contra-cross-site-request-forgerycsrf/
Leia esse artigo
-
Essa questão e os comentários me dispertaram a curiosidade em analisar qual a diferença entre CSRF e XSS, achei um artigo em inglês, portanto a tradução automática não fica tão boa assim, mas deu p sanar a dúvida:
"A diferença fundamental é que o CSRF (falsificação de solicitação entre sites) ocorre em sessões autenticadas quando o servidor confia no usuário / navegador, enquanto o XSS (Cross-Site scripting) não precisa de uma sessão autenticada e pode ser explorado quando o site vulnerável não faz o básico de validar ou escapa dos controles de acesso que usam a política de mesma origem."
https://www.quora.com/What-is-the-difference-between-XSS-and-CSRF-from-their-execution-perspective
-
CERTO
O ataque CSRF explora a relação de confiança entre um aplicativo web e seu usuário legítimo. Medidas que implementam mecanismos como o captcha (o velho e bom “não sou um robô”kk) ajuda a comprovar a autenticidade de quem está acessando o site.
-
Gabarito: Certo
Diferença entre XSS e CSRF:
XSS tira proveito da confiança que o usuário tem no site. Explora o usuário/navegador.
CSRF tira proveito da confiança que o site tem no usuário. Explora o site/sessão. Com isso, implementando o que a questão traz, limitar o tempo dos cookies e implementar o captcha, faz com que o site questione a confiança no usuário mais vezes e em menor tempo. Isso ajuda contra CSRF.
-
O CSRF é um tipo de exploit malicioso de um website, no qual comandos não autorizados são transmitidos a partir de um usuário em quem a aplicação web confia. Há muitos meios em que um site web malicioso pode transmitir tais comandos, tags de imagem especialmente criadas, formulários ocultos e XMLHttpRequests de Java Script , por exemplo, podem funcionar sem a interação do usuário ou mesmo seu conhecimento. Diferente do (XSS), que explora a confiança que um usuário tem para um site específico, o CSRF explora a confiança que um site tem no navegador de um usuário.
-
XSS tira casquinha do usuário no site.
CSRF tira casquinha do navegador do cliente.
-
Só complementando:
Sempre confundo a sigla, gravei assim:
XSS -- Xuxa, a rainha dos baixinhos (é o usuário)
Explora a confiança que um usuário tem em um site.
CRSS -- CoRreio Braziliense (é o site)
Explora a confiança que um site tem no navegador de um usuário.
-
TCU. só é lembara que o DF é mantido pela união, quem assina o check é quem presta as contas .