Linkedin-in Youtube Twitter Facebook-f Instagram
  • +55 (11) 3255 -3926
  • contato@ibliss.com.br
IBLISS – Consultoria em Segurança Cibernética
  • Home
  • A IBLISS
  • Nossos Serviços
    • Consultoria em Cibersegurança
    • Governança, Risco e Compliance (GRC)
    • Serviços Gerenciados (MSS)
    • Teste de Intrusão
    • Conscientização e Cultura
    • AppSec & DevSecOps
  • Blog
  • Oportunidades
  • Contato
IBLISS – Consultoria em Segurança Cibernética
  • A IBLISS
    • Nossa Equipe
    • Responsabilidade Social
  • Blog Minuto Proteção
  • Contato
  • Home
  • Nosso Propósito
  • Nossos Serviços
    • AppSec & DevSecOps
      • Análise SAST e DAST
      • Revisão de Segurança (ASVS)
    • Conscientização e Cultura
    • Consultoria em Cibersegurança
      • Teste de Intrusão
    • Governança, Risco e Compliance (GRC)
    • Serviços Gerenciados (MSS)
  • Parceiros
  • Política de Alto Nível
  • Política de Privacidade

Blog Minuto Proteção

  • Home
  • Blog Minuto Proteção
  • Segurança Digital
  • Cross-Site Request Forgery (CSRF) e suas ameaças
Segurança Digital
_ 26 de outubro de 2011

Cross-Site Request Forgery (CSRF) e suas ameaças

Apesar do Cross-Site Request Forgery não ser uma vulnerabilidade nova, ainda vemos inúmeras aplicações suscetíveis a ele.

O ataque funciona através da inclusão de um link ou script malicioso em uma página que irá disparar uma ação na aplicação-alvo em que o usuário, vítima, possui acesso e encontra-se autenticado no momento da execução do código. Estão em risco aplicações web que não adotam controles para validação da legitimidade da requisição a ser processada.

O Cross-Site Request Forgery (CSRF), portanto, é um tipo de exploração indireta e mal-intencionada das funções de uma aplicação em que comandos são transmitidos a partir de um usuário em que a aplicação confia, sem o consentimento deste. Ao contrário do Cross-Site Scripting (XSS), que explora a confiança que um usuário tem num site em particular, o CSRF explora a confiança que um site tem no browser do usuário. O CSRF é um ataque difícil de ser detectado, já que a requisição do atacante fica mascarada pelo browser e endereço IP das requisições legítimas (feitas pelo usuário legítimo).

Características comuns ao CSRF:

  • Envolvem sites que dependem da identidade de um usuário
  • Explora a confiança que o site tem na identidade desse usuário
  • Engana o navegador do usuário para o envio de solicitações HTTP para um site de destino
  • Envolvem solicitações HTTP com efeitos colaterais
  • O atacante precisa conhecer o formato da solicitação para poder forjá-la, criando o código malicioso (clique aqui para entender melhor o que é um formato de solicitação)

Todas as funções disponíveis por uma aplicação Web vulnerável estão suscetíveis a este ataque: a criação de um usuário, a aprovação de uma etapa de workflow, liberação de pagamentos, compras, envio de e-mail etc.

Sua aplicação depende de cadastro de usuários? Você pode estar vulnerável a esse tipo de ataque. Não corra riscos, teste a vulnerabilidade de sua aplicação.

Realizamos uma avaliação TOP10 gratuita em seu ambiente.

Vulnerabilidades Web Attack
♥2
Linha de defesa: SENHAS
19 de outubro de 2011
Grave falha de segurança no Flash: qualquer site pode ter acesso não-autorizado a sua webcam
1 de novembro de 2011

Leave a comment Cancelar resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Postagens Recentes

  • IBLISS conquista certificação GPTW pelo terceiro ano consecutivo
  • IBLISS Digital Security anuncia parceria estratégica com a IT-ONE
  • Manipulação de curto tempo de expiração de tokens de autorização
  • Entenda o que é DevSecOps – INFOGRÁFICO
  • Teste de Invasão: Conheça as principais vantagens

Categorias

  • Acontece na IBLISS
  • Ameaças
  • AppSec & DevSecOps
  • Ataques Cibernéticos
  • Blog
  • Cibersegurança
  • Consciencialização
  • Conscientização
  • Cyber Protection
  • Diário de Um Pentester
  • eBook
  • Education
  • Estratégia em Segurança
  • Eventos
  • GDPR
  • Gestão de vulnerabilidades
  • LGPD
  • Notícias IBLISS
  • Privacidade
  • RGPD
  • Risk e compliance
  • root
  • Segurança Digital
  • Segurança no E-Commerce
  • Sensibilização
  • Technology
  • Testes de invasão
  • Uncategorized
  • Vagas
  • Vulnerabilidades

Contato

Av. Angélica, 2852
2° Andar
CEP 01228-200
Bela Vista
São Paulo / SP

contato@ibliss.com.br

+55 (11) 3255 -3926

IBLISS_Parcerias_Certificado-1536x512-1-pm727zz2jah6fbi8ty4ggbgwzzn3clcj1wf0235qf4

Links

  • A IBLISS
  • Nossos Serviços
  • Blog
  • Oportunidades
  • Contato
  • Política de Privacidade

Siga a IBLISS

Linkedin Youtube Facebook Instagram Twitter

Newsletter

© 2022 IBLISS Digital Security. Todos os direitos reservados. Desenvolvido por QMove.