Sea Surf – Protezione CSRF

LockCSRF o XSRF è uno dei più noti attacchi informatici che possono essere diretti a qualsiasi sito web, indipendentemente dalla tecnologia di backend. Una grande percentuale di siti, infatti, non sono protetti nei confronti di questo tipo di attacco o possiedono delle pagine vulnerabili facilmente individuabili da un attaccante.

La vittima di un attacco CSRF è quasi sempre l’utente. L’attacco sfrutta l’assunto che le operazioni fatte da un browser web, all’interno di una sessione autenticata, corrispondono sempre a richieste fatte esplicitamente dall’utente. Si tratta di un assunto molto rischioso perché facilmente sfruttabile da un attaccante che, indirizzando l’utente su un sito creato ad hoc, riesce a comandarne il browser con l’utilizzo di javascript.

Continua a leggere