Glossário da F5

Falsificação de Solicitação Entre Sites (CSRF)

Falsificação de solicitação entre sites (CSRF) é um método de ataque baseado na web que explora vulnerabilidades em applications da web. O termo CSRF também pode se referir diretamente à vulnerabilidade em si.

Quando um application da web tem uma vulnerabilidade CSRF, os invasores podem enganar usuários legítimos, fazendo-os invocar ações não intencionais no site vulnerável sem o consentimento explícito dos usuários. Os impactos potenciais incluem operações não autorizadas, como modificação de dados do usuário, exclusão ou alteração acidental de dados, execução de transações fraudulentas ou início de ações não autorizadas no application visado.

Um ataque CSRF típico ocorre da seguinte maneira:

  1. O invasor induz os usuários de um application direcionado a visitar uma página da web maliciosa criada especificamente para o ataque.
  2. Assim que a vítima acessa essa página maliciosa, o invasor dispara solicitações POST não autorizadas para o application vulnerável (em certos casos, apenas visitar a página da web pode disparar a solicitação maliciosa sem interação adicional do usuário).
  1. O application de destino processa a solicitação POST não autorizada, executando ações não intencionais em nome do usuário autenticado.

Para mitigar ataques CSRF, os applications devem validar a legitimidade das solicitações POST recebidas. Uma abordagem amplamente adotada é a implementação de tokens conhecidos como valores "nonce" ("número usado uma vez"). Um nonce é um identificador exclusivo, gerado aleatoriamente, incorporado em formulários HTTP legítimos em resposta a solicitações do usuário. Ao receber envios POST subsequentes, o application verifica o nonce para confirmar a autenticidade e a integridade da solicitação.

Ao enviar formulários em resposta a solicitações GET legítimas, o servidor inclui um valor nonce exclusivo e imprevisível. Ao receber a solicitação POST correspondente do cliente, o application verifica o nonce para confirmar a autenticidade e a legitimidade da solicitação.

Além disso, soluções de segurança como Web Application Firewalls (WAFs) fornecidas pelo F5 BIG-IP Application Security Manager são altamente eficazes na identificação e bloqueio de solicitações maliciosas para evitar que vulnerabilidades de CSRF sejam exploradas.