2017-10-13

Oktober - OWASP Top Ten - A8 Cross-Site Request Forgery (CSRF)

OWASP står för The Open Web Application Security Project och är en öppen global organisation som arbetar för säkerhet i mjukvaruapplikationer, främst webbapplikationer.
OWASP Top Ten listar de mest kritiska säkerhetsproblemen för webbapplikationer.

A8 Cross-Site Request Forgery (CSRF)

CSRF är en sårbarhet där man får användaren att skicka en request skapad av attackeraren till en webbtjänst och om användaren är inloggad så kan det få väldigt ödesdigra konsekvenser.
Om vi antar att en webbsida är sårbar för CSRF och de flesta loggar in ut från webbsidor när de är klara med den utan vill fortsätta utan att logga in nästa gång de besöker. Då kan man skapa en request på en annan sida eller skicka i ett mail som när länken eller knappen klickas på så skickas requesten till webbsidan och utföra det som står i requesten om det nu är att byta lösenord eller radera användarens konto eller vad för något som attackeraren hittat på.

Enklaste skyddet mot en sån här attack är att skicka med ett unikt token i varje request som visar för servern att requesten kommer från rätt webbsida och att användaren har skickat in den. CAPTCHA går också att använda.

System och tjänster som uppdaterats sedan förra uppdateringen:
  • s02
    • Inga uppdateringar.
  • s03
    • Inga uppdateringar.
  • s04
    • Bygger server.