Linkedin-in Youtube Twitter Facebook-f Instagram
  • +55 (11) 3255 -3926
  • contato@ibliss.com.br
  • Home
  • A IBLISS
    • Responsabilidade Social
  • Nossos Serviços
    • Consultoria em Cibersegurança
    • Teste de Intrusão
    • Conscientização & Cultura
    • Serviços Gerenciados
    • Compliance & Governança
    • AppSec & DevSecOps
  • Conteúdos
    • Blog
    • Materiais Ricos
    • Boletins de vulnerabilidades
  • Oportunidades
  • Contato
IBLISS Digital Security
  • A IBLISS
    • Nossa Equipe
    • Responsabilidade Social
  • Aviso de Privacidade
  • Blog Minuto Proteção
  • Boletins de vulnerabilidades
  • Contato
  • E-book Programa de Conscientização em Segurança da Informação
  • Home
  • IBLISS + GAT Security score
  • Infográfico Gestão de Vulnerabilidades – um passo em direção a um caminho seguro
  • Infográfico Por que investir em um Programa de Conscientização?
  • Infográfico RESILIÊNCIA CIBERNÉTICA
  • Materiais Ricos
  • Nosso Propósito
  • Nossos Serviços
    • AppSec & DevSecOps
      • Análise SAST e DAST
      • Revisão de Segurança (ASVS)
    • Compliance & Governança
    • Conscientização & Cultura
    • Consultoria em Cibersegurança
      • Teste de Intrusão
    • Serviços Gerenciados
  • Oportunidades
  • Parceiros tecnológicos
  • Política de Cookies
  • Política de segurança da informação – fornecedores, parceiros e prestadores de serviços
  • Política de Segurança de Alto Nível

Blog Minuto Proteção

  • Home
  • Blog Minuto Proteção
  • Segurança Digital
  • Cross-Site Request Forgery (CSRF) e suas ameaças
Segurança Digital

Cross-Site Request Forgery (CSRF) e suas ameaças

Apesar do Cross-Site Request Forgery não ser uma vulnerabilidade nova, ainda vemos inúmeras aplicações suscetíveis a ele.

O ataque funciona através da inclusão de um link ou script malicioso em uma página que irá disparar uma ação na aplicação-alvo em que o usuário, vítima, possui acesso e encontra-se autenticado no momento da execução do código. Estão em risco aplicações web que não adotam controles para validação da legitimidade da requisição a ser processada.

O Cross-Site Request Forgery (CSRF), portanto, é um tipo de exploração indireta e mal-intencionada das funções de uma aplicação em que comandos são transmitidos a partir de um usuário em que a aplicação confia, sem o consentimento deste. Ao contrário do Cross-Site Scripting (XSS), que explora a confiança que um usuário tem num site em particular, o CSRF explora a confiança que um site tem no browser do usuário. O CSRF é um ataque difícil de ser detectado, já que a requisição do atacante fica mascarada pelo browser e endereço IP das requisições legítimas (feitas pelo usuário legítimo).

Características comuns ao CSRF:

  • Envolvem sites que dependem da identidade de um usuário
  • Explora a confiança que o site tem na identidade desse usuário
  • Engana o navegador do usuário para o envio de solicitações HTTP para um site de destino
  • Envolvem solicitações HTTP com efeitos colaterais
  • O atacante precisa conhecer o formato da solicitação para poder forjá-la, criando o código malicioso (clique aqui para entender melhor o que é um formato de solicitação)

Todas as funções disponíveis por uma aplicação Web vulnerável estão suscetíveis a este ataque: a criação de um usuário, a aprovação de uma etapa de workflow, liberação de pagamentos, compras, envio de e-mail etc.

Sua aplicação depende de cadastro de usuários? Você pode estar vulnerável a esse tipo de ataque. Não corra riscos, teste a vulnerabilidade de sua aplicação.

Realizamos uma avaliação TOP10 gratuita em seu ambiente.

Vulnerabilidades Web Attack
Linha de defesa: SENHAS
19 de outubro de 2011
Grave falha de segurança no Flash: qualquer site pode ter acesso não-autorizado a sua webcam
1 de novembro de 2011

Leave a comment Cancelar resposta

Você precisa fazer o login para publicar um comentário.

Postagens Recentes

  • O ataque simples que pode derrubar uma empresa inteira
  • O Papel da Segurança da Informação no Caso PIX: Lições dos Controles NIST e ISO 27001
  • IBLISS anuncia nova fase de crescimento e reforça time executivo com foco em CTEM
  • Qual a importância em investir em um Programa de Conscientização?
  • Teste de Invasão: Conheça as principais vantagens

Contato

Av. Angélica, 2582
2° Andar
CEP 01228-200
Bela Vista
São Paulo / SP

contato@ibliss.com.br

+55 (11) 3255 -3926

Links

  • A IBLISS
  • Nossos Serviços
  • Blog
  • Oportunidades
  • Contato
  • Aviso de Privacidade
  • Política de Cookies
  • Política de Segurança de Alto Nível
  • PSI – Fornecedores & Parceiros

Siga a IBLISS

Linkedin Youtube Facebook Instagram Twitter

Newsletter

© 2022 IBLISS Digital Security. Todos os direitos reservados. Desenvolvido por QMove.

Utilizamos cookies e outras tecnologias semelhantes para garantir que você obtenha a melhor experiência em nosso site. Consulte a Política de Cookies. Além disso, ao continuar navegando, você está ciente com o nosso Aviso de Privacidade.