Mi spiace molto nuovo per la sicurezza.
Se un utente è connesso a un sito sicuro (le credenziali sono SSN e una password) e quindi è vittima di una CSRF, le sue informazioni di accesso possono essere a rischio?
Un attacco CSRF è un attacco cieco in cui l'attaccante può controllare la richiesta inviata al server, ma a causa della stessa politica di origine non è possibile ottenere il contenuto della risposta HTTP. Per ottenere la risposta, è necessario qualcosa come Cross-Site-Scripting o DNS-Rebinding. Almeno è il caso del comportamento predefinito, ma se il server di destinazione utilizza una (non predefinita) apertura ampia politica CORS anche leggere la risposta da un attacco CSRF usando XMLHttpRequest.
Ma si può ancora causare un sacco di danni, come cambiare le impostazioni DNS in un router e da allora in poi essere effettivamente l'uomo nel mezzo. Vedi come sono stati hackerati milioni di modem DSL in Brasile ... .
Potenzialmente, sì. Ma solo se hai problemi di sicurezza molto peggiori. Se esporti degli endpoint che avviano il trasferimento dei dati in una nuova posizione (come la modifica dell'indirizzo email su un account), un attacco CSRF consente all'autore dell'attacco di inviare una richiesta a questo, che potrebbe consentire l'accesso ai propri dati.
Comunque generalmente no, gli attacchi CSRF sono ciechi e spesso usano cose come iFrame che non possono essere lette dall'attaccante.
Ci sono una serie di precauzioni che puoi prendere, che includono i token di verifica utilizzati in qualsiasi richiesta che potrebbe potenzialmente causare l'esposizione di informazioni.
Sì e no . Sì perché può modificare le informazioni senza il consenso dell'utente ma no perché non può raccogliere informazioni. CSRF è un attacco cieco.
CSRF è l'acronimo di Cross Site Request Forgery. L'idea è che quando visiti un sito dannoso, questo sito avvierà una richiesta a un sito di destinazione. Ad esempio:
Visito malicious.com e quando raggiungo la loro pagina fanno un post su stackoverflow.com/change_password?new_password=abc. Se stackoverflow non si protegge da attacchi CSRF, l'utente malintenzionato sarebbe stato in grado di modificare la password su StackOverflow.
Il motivo per cui gli attacchi CSRF funzionano è che sono stati avviati dall'utente legittimo. Dal punto di vista dello stackoverflow, sono stato io a decidere di cambiare la mia password, non l'attaccante, ed è per questo che ci è riuscita. Se l'utente malintenzionato provasse a tentare dal proprio computer di modificare la mia password, fallirebbe perché non sarebbe connesso a StackOverflow (come il mio computer è).
Ma un utente malintenzionato può raccogliere informazioni dagli attacchi CSRF?
No. CSRF è un attacco cieco. L'utente malintenzionato non riceve feedback dai suoi post. Quando ha provato a cambiare la password su StackOverflow, non ha ricevuto alcuna risposta che confermasse il successo del suo attacco.
Anche se usasse iframe per lanciare la richiesta, non sarebbe in grado di raccogliere informazioni sul risultato del suo attacco a causa della stessa politica di origine.
Leggi altre domande sui tag csrf