Falsificarea între site-uri (XSRF sau CSRF), cunoscută și sub o varietate de denumiri, inclusiv falsificarea cererilor între site-uri, folosirea sesiunii și atacul cu un singur clic, este un tip de exploatare a site-ului dificil de prevenit. Funcționează prin păcălirea unui browser web pentru a trimite comenzi neautorizate către un server la distanță. Atacurile de falsificare între site-uri funcționează numai împotriva utilizatorilor care s-au conectat la site-uri web cu acreditări autentice; ca urmare, deconectarea de la site-uri web poate fi o măsură preventivă simplă și eficientă. Dezvoltatorii web pot folosi jetoane generate aleatoriu pentru a ajuta la prevenirea acestui tip de atac, dar ar trebui să evite să verifice referințele sau să se bazeze pe cookie-uri.
Este obișnuit ca exploatările de falsificare pe mai multe site-uri să vizeze browserele web în ceea ce este cunoscut sub numele de „atac adjunct confuz”. Considerând că acționează în numele utilizatorului, browserul este păcălit să trimită comenzi neautorizate către un server de la distanță. Aceste comenzi pot fi ascunse în porțiuni aparent inocente ale codului de markup al unei pagini web, ceea ce înseamnă că un browser care încearcă să descarce un fișier imagine ar putea trimite de fapt comenzi către o bancă, un comerciant online sau un site de rețea socială. Unele browsere includ acum măsuri concepute pentru a preveni atacurile de falsificare între site-uri, iar programatorii terți au creat extensii sau pluginuri cărora le lipsesc aceste măsuri. De asemenea, poate fi o idee bună să dezactivați e-mailul HyperText Markup Language (HTML) în clientul dvs. preferat, deoarece aceste programe sunt, de asemenea, vulnerabile la atacurile de falsificare pe mai multe site-uri.
Deoarece atacurile de falsificare pe mai multe site-uri se bazează pe utilizatorii care s-au conectat în mod legitim la un site web. Având în vedere acest lucru, una dintre cele mai ușoare modalități de a preveni un astfel de atac este pur și simplu să vă deconectați de la site-urile pe care ați terminat de utilizat. Multe site-uri care se ocupă de date sensibile, inclusiv bănci și firme de brokeraj, fac acest lucru automat după o anumită perioadă de inactivitate. Alte site-uri adoptă abordarea opusă și permit utilizatorilor să fie autentificați în mod persistent timp de zile sau săptămâni. Deși s-ar putea să găsiți acest lucru convenabil, vă expune la atacuri CSRF. Căutați o opțiune „Țineți-mă minte pe acest computer” sau „Păstrați-mă conectat” și dezactivați-o și asigurați-vă că faceți clic pe linkul de deconectare când ați încheiat o sesiune.
Pentru dezvoltatorii web, eliminarea vulnerabilităților de falsificare între site-uri poate fi o sarcină deosebit de dificilă. Verificarea informațiilor referitor și cookie nu oferă multă protecție, deoarece exploit-urile CSRF profită de acreditările legitime ale utilizatorului, iar aceste informații sunt ușor de falsificat. O abordare mai bună ar fi să generezi aleatoriu un token de unică folosință de fiecare dată când un utilizator se conectează și să solicite ca jetonul să fie inclus cu orice solicitare trimisă de utilizator. Pentru solicitări importante, cum ar fi achiziții sau transferuri de fonduri, solicitarea unui utilizator să introducă din nou numele de utilizator și parola poate ajuta la asigurarea autenticității cererii.