Mi az a CSRF és hogyan lehet megelőzni?

Question

Accepted Answer

**CSRF (Cross-Site Request Forgery)** egy bejelentkezett felhasználó böngészőjét ráveszi **nem kívánt kérések** küldésére olyan webhelyekre, ahol már hitelesítve vannak — tevékenységeket hajtanak végre (átutalások, módosítások) a felhasználó beleegyezése nélkül, kihasználva azt, hogy a böngésző automatikusan küld hitelesítési adatokat/cookie-kat. ## A CSRF működése ```text The attack exploits that browsers AUTO-SEND cookies (incl. session cookies) with requests: 1. a user is LOGGED IN to a site (has a session cookie) 2. the user visits a MALICIOUS page (or clicks a crafted link) 3. that page makes a request to the target site (e.g. a hidden form auto-submitting) 4. the browser AUTOMATICALLY includes the user's session cookie → the site thinks it's a legitimate request from the user → performs the action (transfer money, change email) → the user unknowingly performs an action they didn't intend. ``` ```html ``` ## Megelőzés ```text ✓ CSRF TOKENS → a unique, unpredictable token per session/form that the server verifies; the attacker's site can't know it → the forged request fails (the primary defense) ✓ SameSite COOKIES → SameSite=Lax/Strict → cookies NOT sent on cross-site requests → blocks CSRF (now a strong, default-ish browser defense) ✓ Check Origin/Referer headers; require re-authentication for sensitive actions ✓ Don't use GET for state-changing actions (use POST/PUT/DELETE properly) → Frameworks often provide CSRF protection built in — enable/use it. ``` ## Miért fontos A CSRF megértése és megelőzése értékes, mert ez egy **gyakori webes sérülékenység**, amely a böngészők működésének kihasználására épül, lehetővé téve a támadók számára, hogy hitelesített felhasználóként végezzenek el műveleteket, ezért ez fontos biztonsági tudás a webfejlesztők számára. Annak megértése, **hogy a CSRF hogyan működik** — kihasználva azt, hogy a böngészők **automatikusan küldik a cookie-kat** (beleértve a munkamenet-cookie-kat) a kérésekkel, így egy rosszindulatú oldal aktiválhat egy kérést olyan webhelyhez, ahol a felhasználó bejelentkezve van, és a böngésző mellékeli a munkamenet-cookie-t, így a weboldal a hamis kérést legitímnek tekinti és elvégzi a műveletet (átutalások, fiókváltozások) a felhasználó tudta nélkül — szükséges ennek az apró, de veszélyes támadásnak a megértéséhez. A CSRF veszélyes, mert az áldozat tudta nélkül végezhet el érzékeny műveletek, és ez egy gyakori webes sérülékenység. A **megelőzés** megértése elengedhetetlen: **CSRF tokenek** (egy egyedi, kiszámíthatatlan token munkamenetenként/formonként, amelyet a szerver ellenőriz — a támadó oldala nem ismerheti, így a hamis kérések meghiúsulnak; a hagyományos elsődleges védelem), **SameSite cookie-k** (a SameSite=Lax/Strict beállítása úgy, hogy a cookie-kat ne küldjék az oldaltartományon kívüli kérésekkel, most egy erős böngésző-szintű védelem, amely egyre inkább alapértelmezett), az Origin/Referer fejlécek ellenőrzése, az érzékeny műveletek újraautentikálásának megkövetelése, és a GET nem használata az állapotváltozó műveletek esetén. Annak megértése, hogy **az alkalmazási keretrendszerek gyakran beépített CSRF-védelmet nyújtanak** (amelyet engedélyezni és használni kell) gyakorlatilag fontos. A CSRF tokenek és a SameSite cookie-k kombinációja erőteljes védelmet biztosít. Mivel a CSRF egy gyakori webes sérülékenység, amely a böngésző viselkedésének kihasználásával nem kívánt műveletek hajtódnak végre hitelesített felhasználóként, és mivel a működésének megértése és megelőzése (CSRF tokenek, SameSite cookie-k, keretrendszer-védelmek) fontos a webfejlesztők számára, a CSRF és megelőzésének megértése értékes, gyakorlati szempontból releváns biztonsági tudás — egy fontos webes sérülékenység, amelyet meg kell érteni és meg kell védeni ellene, ahol a védelmek (CSRF tokenek és SameSite cookie-k) kulcsfontosságú tudás a felhasználók védelméhez a felhasználókat nem kívánt műveletre csábító támadások ellen, egy figyelemreméltó támadási osztály minden hitelesített állapotváltozó műveletekkel rendelkező webalkalmazásnál.