Što je CSRF?

CSRF (Cross-Site Request Forgery) je vrsta napada gdje napadač navodi korisnika da izvrši neautorizirani zahtjev prema servisu na kojem je korisnik već prijavljen. Kao rezultat, ukoliko zaštite nisu dovoljne dobre, aplikacija može smatrati taj zahtjev ispravnim, što može dovesti do promjena u korisničkim podacima ili izvođenju akcija bez njegova pristanka, poput promjene lozinke ili izvršenja plaćanja.

Kako funkcionira CSRF napad?

CSRF napad funkcionira na principu “podsjećanja” korisnika koji ima aktivnu sesiju u web aplikaciji. Ako korisnik klikne zlonamjerni link ili otvori stranicu koja sadrži napadački kod, preglednik će automatski poslati odgovarajuće autorizacijske kolačiće servisu. Bez dodatnih zaštita, poput provjere izvora zahtjeva, servis može izvršiti naredbu u ime korisnika. Ova vrsta napada posebno je opasna za stranice koje obrađuju osjetljive korisničke podatke, poput internetskih trgovina.

Kako se zaštititi od CSRF napada?

Da biste spriječili CSRF napade, korisno je:

1. Tražiti od korisnika dodatnu potvrdu za kritične akcije, primjerice pomoću CSRF tokena.
2. Koristiti SSL certifikat za šifriranje veza, što smanjuje rizik od presretanja sesije.
3. Provjera podrijetla HTTP zahtjeva pomoću zaglavlja “Referer” ili “Origin” može pomoći u identifikaciji neautoriziranih zahtjeva.