¿Cómo evitar un ataque de falsificación de solicitudes entre sitios (XSRF / CSRF) mediante la reescritura de URL?
https://stackoverflow.com/questions/1213246
-
06-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Un CSRF / XSRF puede prevenirse usando varias técnicas.
Una de las técnicas es utilizar un token único para la sesión del cliente con cada solicitud enviada por el cliente al servidor; que se está validando en el lado del servidor. Si el token de solicitud y el token del lado del servidor coinciden, se le permite a la solicitud ingresar a la aplicación y, si no es así, no se le permite ingresar. Por lo tanto, se detectaría un ataque CSRF.
Aunque la idea detrás de la técnica es muy clara para mí, no estoy seguro de cómo la reescritura de URL podría ayudar a prevenir un ataque CSRF. ¿Pueden los gurús de la seguridad arrojar algo de luz sobre esto?
Solución
Aquí hay una breve historia que habla sobre la reescritura de URL. Dice:
Podríamos mitigar gran parte del riesgo de estas vulnerabilidades cambiando frecuentemente nuestras URL, no una vez cada 200 años, sino una vez cada 10 minutos. Los atacantes ya no podrían explotar las vulnerabilidades de las aplicaciones mediante el envío masivo de hipervínculos envenenados por correo electrónico porque los enlaces se romperían y no serían válidos para cuando los mensajes llegaran a sus víctimas previstas.
Lo que supongo (y el artículo está de acuerdo) es una faceta de un enfoque total para evitar que ocurra este problema. Microsoft también tiene un buen artículo que habla de esto.
