CSRF (Сross Site Request Forgery — подстановка межсайтовых запросов?) – известный еще с конца прошлого века хакерский метод, основанный на эксплуатации уязвимостей в безопасности протоколов передачи данных в интернете.
CSRF или иначе XSRF состоит в том, что злоумышленники создают фейковые сайты, на которых пользователи могут совершать некие запросы к сторонним ресурсам для проведения каких-то транзакций или получения услуг, покупки товаров.
Чтобы метод сработал, на поддельном сайте требуется авторизация пользователя и предоставление каких-либо персональных данных, сведений о банковских счетах и так далее. При этом в процессе проведения операции не запрашивается подтверждение со стороны сервера в подлинности проводимых операций.
Ставшие жертвами ловушки в формате CSRF посетители сайтов могут переводить деньги со своих счетов на счета третьих лиц, отправлять спам-сообщения, размещать ссылки, изменять ученые записи, что приведет к потере контроля над аккаунтами.
Для обеспечения защиты от таких контругроз необходимо, чтобы доверенные сайты требовали от своих постоянных клиентов подтверждения каждого промежуточного действия в процессе достижения целей. Рекомендуется также использовать защищенный HTTPS протокол обмена данными.
