Falsificazione di richieste tra siti (CSRF)

Falsificazione di richieste tra siti (CSRF), noto anche come XSRF, è un metodo di attacco che inganna un browser web inducendolo a eseguire azioni indesiderate in un'applicazione utente. Simile a Attacchi di phishing, i CSRF vengono in genere amministrati utilizzando malware Ingegneria sociale, come un'e-mail o un link che induce la vittima a inviare una richiesta contraffatta a un server. Poiché l'utente ignaro è autenticato dalla propria applicazione al momento dell'attacco, è quasi impossibile distinguere una richiesta legittima da una contraffatta. Un attacco CSRF riuscito può essere devastante sia per l'azienda and l'utente. Può causare danni ai rapporti commerciali, trasferimenti di denaro non autorizzati, password modificate e furto di dati. A seconda della natura dell'attacco CSRF, degli hacker può guadagnare pieno Controllo sull'account utente. Se l'utente compromesso dispone di un account privilegiato (amministratore) all'interno dell'applicazione, l'aggressore potrebbe essere in grado di assumere il pieno controllo di tutti i dati e le funzionalità dell'applicazione.

Fonte: Imperva, PortSwigger

Letture aggiuntive: Google e Mozilla gettano le basi per un "mondo post-XSS"

Termini correlati: Attacco di dirottamento di sessione

Cosa significa questo per una PMI?

Le piccole e medie imprese (PMI) possono adottare diverse misure preventive per prevenire e proteggere i propri dipendenti dagli attacchi CSRF. Dal punto di vista dell'utente, la prevenzione consiste nel salvaguardare le credenziali di accesso e negare l'accesso alle applicazioni a soggetti non autorizzati.

Le migliori pratiche per i dipendenti includono:

• Disconnessione delle applicazioni off-web quando non in uso
• Protezione dei nomi utente e password con password di oltre 14 caratteri memorizzate in un Password manager
• Non consentire ai browser di ricordare le password

Buone pratiche per le aziende che sviluppano codice:

• Esegui periodicamente il tuo codice di sviluppo dinamico and codice statico strumenti di analisi per cercare di identificare i problemi di sicurezza da affrontare.
• Valutare l'assunzione di un'azienda di test di sicurezza delle applicazioni per eseguire "fuzzing delle applicazioni"la tua applicazione per le vulnerabilità di sicurezza.
• Forma i tuoi sviluppatori su I 10 principali errori di programmazione OWASP realizzati dagli sviluppatori.

Per saperne di più sul CSRF, guarda questo breve video:

Stai facendo abbastanza per proteggere la tua attività?

Iscriviti oggi a CyberHoot e dormi meglio sapendo il tuo

i dipendenti sono formati in materia informatica e sono sempre in guardia!

Iscriviti Oggi!