CSRF, Cross-site request forgery

28.04.2011

Qualche tempo fa sono state rubate alcune identità (user e pasword) da youtube, perchè è stato oggetto di un attacco CSRF.

Ma cos'è questo tipo di attacco?
Il sistema si basa sulla fiducia di un sito web verso un particolare utente.
Per capirlo meglio vediamo un esempio.

Supponiamo che un utente che chiameremo Mario vada in un forum o blog. Nello stesso forum un utente malizioso che chiameremo Giulio ha pubblicato un immagine con un link del tipo: www.latuabanca.it/faibonifico.php.

Quando Giulio carica la pagina, si carica anche il link in maniera remota, senza che Giulio sia a conoscenza di quello che sta facendo.

Se Giulio ha spuntato sul sito della sua banca (che Mario deve conoscere) di ricordare l'accesso, quindi tramite cookie, l'operazione viene eseguita senza richiedere l'autorizzazione a Giulio.

In questo modo è avvenuta una transazione bancaria senza che Giulio fosse minimamente cosciente del fatto.

E' chiaro che questo richiede alcune situazioni al contorno, che normalmente non ci sono:

  1. La banca di Giulio permette il login automatico
  2. La banca di Giulio permette l'invio di bonifici senza conferma da parte dell'utente ed in get.
  3. Mario conosce perfettamente tutti i parametri che devono essere passati per fare un bonifico alla banca di Giulio.

E' chiaro però che se queste condizioni sono raggiunte la frode va in porto.

Autore: Federico Bernardin

Categoria: Generici

LisaWhart LisaWhart 30 aprile 2020, 14:20
[url=https://azithromycin36.com/]buy azithromycin[/url]
EvaWhart EvaWhart 30 aprile 2020, 23:28
[url=http://sildenafilctrt.com/]sildenafil 100mg tablets for sale[/url]
EvaWhart EvaWhart 1 maggio 2020, 08:56
JaneWhart JaneWhart 1 maggio 2020, 11:20
EvaWhart EvaWhart 1 maggio 2020, 12:01
EvaWhart EvaWhart 1 maggio 2020, 17:01
[url=http://amoxicillincap.com/]amoxicillin 500 mg where to buy[/url]
JaneWhart JaneWhart 1 maggio 2020, 21:05
[url=https://valtrex1.com/]cheapest on line valtrex without a prescription[/url]
KimWhart KimWhart 1 maggio 2020, 21:07
EvaWhart EvaWhart 2 maggio 2020, 03:53
Janblople Janblople 2 maggio 2020, 14:08
Fedex Shipping Zentel Direct Amex [url=https://abuycialisb.com/#]Cialis[/url] Isotretinoin acutane <a href=https://abuycialisb.com/#>Cialis</a> Propecia Florida
Commenta

* - campo obbligatorio

*




Immagine CAPTCHA per prevenire lo SPAM
Se non riesci a leggere la parola, clicca qui.
*
*