Kas yra CSRF ir kaip jį nuo to apsaugoti?

Question

Accepted Answer

**CSRF (Cross-Site Request Forgery)** apgaudinėja prisijungusio vartotojo naršyklę, kad ji atliktų **nepageidaujamas užklausas** svetainei, kurioje jis yra autentifikuotas — atliekant veiksmus (pervedimus, pakeitimus) be jo sutikimo, išnaudojant naršyklės automatinį kredencialų/slapukų siuntimą. ## Kaip CSRF veikia ```text The attack exploits that browsers AUTO-SEND cookies (incl. session cookies) with requests: 1. a user is LOGGED IN to a site (has a session cookie) 2. the user visits a MALICIOUS page (or clicks a crafted link) 3. that page makes a request to the target site (e.g. a hidden form auto-submitting) 4. the browser AUTOMATICALLY includes the user's session cookie → the site thinks it's a legitimate request from the user → performs the action (transfer money, change email) → the user unknowingly performs an action they didn't intend. ``` ```html ``` ## Apsauga ```text ✓ CSRF TOKENS → a unique, unpredictable token per session/form that the server verifies; the attacker's site can't know it → the forged request fails (the primary defense) ✓ SameSite COOKIES → SameSite=Lax/Strict → cookies NOT sent on cross-site requests → blocks CSRF (now a strong, default-ish browser defense) ✓ Check Origin/Referer headers; require re-authentication for sensitive actions ✓ Don't use GET for state-changing actions (use POST/PUT/DELETE properly) → Frameworks often provide CSRF protection built in — enable/use it. ``` ## Kodėl tai svarbu Supratimas apie CSRF ir kaip jį nuo to apsaugoti yra vertingas, nes tai **dažna žiniatinklio pažeidžiamybė**, kuri išnaudoja naršyklės veikimą, leidžianti užpuolikams atlikti veiksmus kaip autentifikuoti vartotojai, todėl tai svarbi žiniatinklio kūrėjams skirta saugumo žinias. Supratimas **kaip CSRF veikia** — išnaudojant tai, kad naršyklės **automatiškai siunčia slapukus** (įskaitant sesijos slapukus) su užklausomis, todėl kenkėjiška puslapis gali sukelti užklausą svetainei, kurioje vartotojas yra prisijungęs, ir naršyklė įtraukia sesijos slapuką, todėl svetainė traktuoja suformuotą užklausą kaip tikrą ir atlieka veiksmą (pervedimus, paskyros pakeitimus) be vartotojo sutikimo — yra būtinas šio subtilaus, bet pavojingo atako supratingam. CSRF yra pavojingas, nes jis gali atlikti jautrius veiksmus aukos vardu, nežinodamas jų, ir tai yra dažna žiniatinklio pažeidžiamybė. Supratimas apie **apsaugą** yra būtinas: **CSRF žetonai** (unikalus, nenumatytas žeton kas sesijai/formai, kurią serveris patikrina — priešo svetainė negali jį žinoti, todėl suformuotos užklausos nepavyksta; pirminė tradicinė apsauga), **SameSite slapukai** (nustatymas SameSite=Lax/Strict, kad slapukai nebūtų siunčiami su tarpdomėninėmis užklausomis, dabar jau stipri naršyklės lygmens apsauga, kuri vis dažniau yra numatytoji), Origin/Referer antraščių tikrinimas, jautriems veiksmams reikalinga iš naujo autentifikacija ir nenaudojimas GET keičiantiems būseną veiksmams. Supratimas, kad **sistemos dažnai suteikia integruotą CSRF apsaugą** (kuri turėtų būti įjungta ir naudojama), yra praktiškai svarbus. CSRF žetonų ir SameSite slapukų derinys suteikia tvirtą apsaugą. Bei CSRF yra dažna žiniatinklio pažeidžiamybė, išnaudojanti naršyklės elgesį norint atlikti nepageidaujamus veiksmus kaip autentifikuoti vartotojai, ir nes supratimas, kaip jis veikia ir kaip jį nuo to apsaugoti (CSRF žetonai, SameSite slapukai, sistemos apsaugos), yra svarbus žiniatinklio kūrėjams, supratimas apie CSRF ir jo apsaugą yra vertinga, praktiškai aktuali saugumo žinias — svarbi žiniatinklio pažeidžiamybė, kurią reikia suprasti ir nuo jos gintis, kur apsaugos priemonės (CSRF žetonai ir SameSite slapukai) yra pagrindinės žinios, skirtos apsaugoti vartotojus nuo to, kad jie nebūtų suklaidinti atliekant nepageidaujamus veiksmus, pastebimas atakų klasė bet kuriai žiniatinklio programai, turėjusiai autentifikuota būsenai keičiančius veiksmus.