Cosa sono gli attacchi CSRF e come puoi prevenirli?

Cross-Site Request Forgery (CSRF) è uno dei modi più antichi di sfruttare le vulnerabilità di un sito web. Si rivolge a switch Web lato server che di solito richiedono autenticazioni come l'accesso. Durante un attacco CSRF, un utente malintenzionato mira a costringere la sua vittima a effettuare una richiesta Web dannosa e non autorizzata per suo conto.

Pratiche di sicurezza del sito Web deboli o scadenti e negligenza sul percorso dell'utente sono alcune delle cause comuni di un attacco CSRF di successo.

Diamo un'occhiata a cos'è un attacco CSRF e ai possibili modi in cui puoi prevenirlo come sviluppatore o come utente.

In che modo gli attacchi CSRF ti influenzano?

Un CSRF è un attacco utilizzato per implementare richieste non autorizzate durante azioni Web che richiedono l'accesso o l'autenticazione dell'utente. Gli attacchi CSRF possono sfruttare ID di sessione, cookie e altre vulnerabilità basate su server per rubare le credenziali di un utente.

Ad esempio, l'abilitazione di procedure anti-CSRF impedisce interazioni dannose tra domini.

Una volta che tale barriera si rompe, un utente malintenzionato può sfruttare rapidamente l'ID di sessione dell'utente tramite i cookie creati dal browser dell'utente e incorporare un tag di script nel sito Web vulnerabile.

Manipolando un ID, l'attaccante può anche reindirizzare i visitatori a un'altra pagina Web o sfruttare metodi di ingegneria sociale come la posta elettronica per inviare collegamenti, incoraggiando la vittima a scaricare software dannoso.

Una volta che la vittima esegue tali azioni, invia una richiesta HTTP alla pagina di servizio dell'utente e autorizza l'azione di richiesta a favore dell'attaccante. Questo può essere devastante per un utente ignaro.

Un attacco CSRF riuscito può far perdere agli utenti autorizzati le proprie credenziali di accesso a un utente malintenzionato, specialmente durante azioni basate su server come richieste di modifica di password o nome utente. Negli scenari peggiori, l'attaccante prende il controllo dell'intera sessione e agisce per conto degli utenti.

CSRF è stato utilizzato per dirottare le transazioni di fondi sul Web e per modificare nomi utente e password, il che porta gli utenti a perdere l'accesso al servizio interessato.

Come gli aggressori dirottano le tue sessioni con CSRF: esempi

Gli obiettivi principali degli attacchi CSRF sono le azioni web che comportano l'autenticazione di un utente. Per avere successo, ha bisogno di azioni non intenzionali da parte della vittima.

Durante un attacco CSRF, le azioni GET, DELETE e PUT, così come le richieste POST vulnerabili, sono gli obiettivi principali di un utente malintenzionato.

Vediamo il significato di questi termini:

• GET: una richiesta per raccogliere un risultato dal database; ad esempio, ricerca su Google.
• POST: in genere per l'invio di richieste tramite moduli web. Una richiesta POST è comune durante la registrazione o l'accesso di un utente, altrimenti nota come autenticazione.
• DELETE: per rimuovere una risorsa dal database. Lo fai ogni volta che elimini il tuo account da un particolare servizio web.
• PUT: una richiesta PUT modifica o aggiorna una risorsa esistente. Un esempio è cambiare il tuo nome su Facebook .

In pratica, gli aggressori utilizzano il dirottamento della sessione per eseguire il backup di un attacco CSRF. Quando si utilizza questa combinazione, l'attaccante può utilizzare un dirottamento per modificare l'indirizzo IP della vittima.

La modifica dell'indirizzo IP quindi registra la vittima in un nuovo sito Web in cui l'attaccante ha inserito un collegamento ingannevole che invia un modulo replicato o una richiesta di server modificata creata tramite CSRF.

Un utente ignaro pensa quindi che il reindirizzamento provenga dal fornitore di servizi e fa clic sul collegamento nella pagina Web dell'attaccante. Una volta fatto ciò, gli hacker inviano un modulo al caricamento della pagina a loro insaputa.

Esempio di un attacco CSRF di richiesta GET

Immagina di provare a effettuare un pagamento online tramite una piattaforma di e-commerce non protetta. I proprietari della piattaforma utilizzano la richiesta GET per elaborare la transazione. Quella query GET potrebbe essere simile a questa:

https://websiteurl/pay?amount=$10&company=[company ABC's account]

Un dirottatore può rubare facilmente la tua transazione modificando i parametri della richiesta GET. Per fare ciò, tutto ciò che devono fare è scambiare il tuo nome con il loro e, peggio ancora, cambiare l'importo che intendi pagare. Quindi modificano la query originale in qualcosa del genere:

https://websiteurl/pay?amount=$20000&company=[attacker's account]

Dopo aver fatto clic su un collegamento a quella richiesta GET modificata, si finisce per effettuare un trasferimento involontario sull'account dell'attaccante.

La transazione tramite richieste GET è una cattiva pratica e rende le attività vulnerabili agli attacchi.

Esempio di un attacco CSRF di richiesta POST

Tuttavia, molti sviluppatori ritengono che l'utilizzo della richiesta POST sia più sicuro per effettuare transazioni web. Anche se questo è vero, sfortunatamente una richiesta POST è suscettibile anche agli attacchi CSRF.

Per dirottare con successo una richiesta POST, tutto ciò di cui ha bisogno un utente malintenzionato è il tuo ID di sessione corrente, alcuni moduli invisibili replicati e, a volte, un po' di ingegneria sociale.

Ad esempio, un modulo di richiesta POST potrebbe avere il seguente aspetto:

Tuttavia, un utente malintenzionato può scambiare le tue credenziali creando una nuova pagina e modificando il modulo sopra in questo:

Nel modulo manipolato, l'attaccante imposta il valore del campo dell'importo su "30000", scambia il numero di conto del destinatario con il proprio, invia il modulo al caricamento della pagina e nasconde anche i campi del modulo all'utente.

Una volta che hanno dirottato quella sessione corrente, la tua pagina di transazione avvia un reindirizzamento alla pagina dell'attaccante, che ti chiede di fare clic su un collegamento che sa che è più probabile che tu visiti.

Facendo clic su questo si carica l'invio del modulo replicato, che trasferisce i fondi nell'account dell'attaccante. Ciò significa che non è necessario fare clic su pulsanti come "invia" affinché la transazione abbia luogo, poiché JavaScript lo fa automaticamente al caricamento della pagina Web successiva.

In alternativa, un utente malintenzionato può anche redigere un'e-mail incorporata in HTML che richiede di fare clic su un collegamento per eseguire lo stesso invio del modulo di caricamento della pagina.

Un'altra azione vulnerabile a un attacco CSRF è un nome utente o una modifica della password, un esempio di richiesta PUT. Un utente malintenzionato replica il tuo modulo di richiesta e sostituisce il tuo indirizzo email con il suo.

Quindi rubano la tua sessione e ti reindirizzano a una pagina o ti inviano un'e-mail che ti chiede di fare clic su un collegamento interessante.

Questo invia quindi un modulo manipolato che invia il collegamento per la reimpostazione della password all'indirizzo e-mail dell'hacker anziché al tuo. In questo modo, l'hacker cambia la tua password e ti disconnette dal tuo account.

Come prevenire gli attacchi CSRF come sviluppatore

Uno dei metodi migliori per impedire un CSRF consiste nell'utilizzare token che cambiano frequentemente invece di dipendere dai cookie di sessione per l'esecuzione di un cambiamento di stato sul server.

Correlati: guide gratuite per comprendere la sicurezza digitale e proteggere la privacy

Molti moderni framework di backend offrono sicurezza contro CSRF. Quindi, se vuoi evitare i tecnicismi del potenziamento contro CSRF, puoi affrontarlo facilmente utilizzando framework lato server forniti con token anti-CSRF integrati.

Quando si utilizza un token anti-CSRF, le richieste basate sul server generano stringhe casuali invece dei cookie di sessione vulnerabili più statici. In questo modo, puoi proteggere la tua sessione dall'essere indovinato dal dirottatore.

L'implementazione di un sistema di autenticazione a due fattori (2FA) per l'esecuzione di transazioni sulla tua app Web riduce anche le possibilità di un CSRF.

È possibile avviare un CSRF tramite cross-site scripting (XSS), che prevede l'inserimento di script nei campi utente come i moduli di commento. Per evitare ciò, è buona norma abilitare l'escape automatico HTML in tutti i campi del modulo utente nel tuo sito web. Questa azione impedisce ai campi del modulo di interpretare gli elementi HTML.

Come prevenire gli attacchi CSRF come utente

In qualità di utente di un servizio Web che prevede l'autenticazione, hai un ruolo da svolgere nell'impedire agli aggressori di rubare le tue credenziali e sessioni anche tramite CSRF.

Assicurati di utilizzare servizi Web affidabili durante le attività che comportano il trasferimento di fondi.

Oltre a ciò, utilizzare  browser Web sicuri che proteggano gli utenti dall'esposizione della sessione, nonché motori di ricerca sicuri che proteggano dalle fughe di dati di ricerca.

Relazionato: I  migliori motori di ricerca privati ​​che rispettano i tuoi dati

Come utente, puoi anche fare affidamento su autenticatori di terze parti come Google Authenticator o le sue alternative per verificare la tua identità sul Web.

Anche se potresti sentirti incapace di impedire a un utente malintenzionato di dirottare la tua sessione, puoi comunque evitare che ciò accada assicurandoti che il tuo browser non memorizzi informazioni come password e altri dettagli di accesso.

Rafforza la tua sicurezza web

Gli sviluppatori devono testare regolarmente le app Web per le violazioni della sicurezza durante lo sviluppo e la distribuzione.

Tuttavia, è comune introdurre altre vulnerabilità mentre si cerca di prevenirne altre. Quindi fai attenzione per assicurarti di non aver violato altri parametri di sicurezza durante il tentativo di bloccare un CSRF.