CSRF Межсайтовая подделка запроса -- что это такое (цсрф, МПЗ)

CSRF (Сross Site Request Forgery) -- говорить о межсайтовой подделке запроса (МПЗ) можно всегда, когда в какой-то другой системе (скажем на другом сайте) пользователя заставляют (так или иначе) перейти по ссылке (возможно неявно), переход по которой проведёт на вашем сайте какое-то действие.

Примеры CSRF уязвимостей и их эксплуатации

Самый простой пример -- картника размещённая на чужом сайте, в качестве адреса которой указана ссылка на обработчик, производящий какие-то действия на вашем сайте.

  • В лучшем случае это может быть какое-то безобидное действие --скажем в источник подставят ссылку типа выхода из системы:
    <img src="http://адресвашегосайта.ru/logout">
  • В худшем -- могут попросить что-то посерьёзнее, например, пусть ваш сайт умеет переводить деньги между пользователями, а обработчик действия просто проверяет GET-параметр, тогда злоумышленник может сформировать такую ссылку:
    <img 
    src="http://адрес.ru/give-money?user-id=100500?amount=100">

    -- стоит залогиненному у вас пользователю открыть любой сайт с такой картинкой, как другой пользователь вашего сайта с id = 100500 станет богаче на 100 у.е.

Как бороться с CSRF-атаками

Обычно применяют такой способ (по пунктам):

  1. С каждой сессией пользователя связывают уникальный ключ (разный для разных пользователей). Но тут главное, чтобы это ключ при входе в систему у разных пользователей был разным.
  2. Данные передают не через GET, а через POST (т.е. обработчики ожидают именно POST запрос для критических действий, а именно тех, что меняют состояние сервера)
  3. При приёме POST запроса проверяется -- передано ли поле с секретным ключом, если он верный -- то запускается обработка запроса.

Подробнее: https://ru.wikipedia.org/wiki/%D0%9C%D0%...

Key Words for FKN + antitotal forum (CS VSU):