Información sobre Cross Site Request Forgery en OWASP
Las ‘chuletas’ de OWASP (OWASP cheatsheets) son una buena fuente de información para refrescar nuestras ideas o para abordar algún tema que no conocemos en profundidad. En esta ocasión traemos la de Cross Site Request Forgery Prevention Cheat Sheet, que ha sido recientemente actualizada y revisada.
Primero recordar que el ‘Cross Site Request Forgery (CSRF)’ es un problema que se basa en la realización de alguna acción en un sitio web en el que estamos autenticados mediante un enlace en otra parte (un sitio web malicioso, mensaje, correo, …). Es posible cuando el sitio no valida correctamente que la petición ha sido realizada de la manera adecuada (esto es, que el enlace en el que pinchamos está en un sitio adecuado) y puede provocarnos algún dolor de cabeza:
Cross-Site Request Forgery (CSRF) is a type of attack that occurs when a malicious web site, email, blog, instant message, or program causes a user’s web browser to perform an unwanted action on a trusted site when the user is authenticated.
La forma de defenderse es conocida desde hace tiempo, y la mayoría de entornos de desarrollo proporcionan herramientas para que no tengamos que preocuparnos (demasiado) de estos problemas pero hay que recordarlo si decidimos trabajar ‘sin red’ y desarrollar nosotros mismos alguna aplicación web sin apoyo de un ‘framework’ adecuado.
Interesante.
Se pueden ver otras ‘chuletas’ en CheatSheets.