Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
UtiliaCS 970x120
UtiliaCS 320x100
Cosa è il cross-site request forgery (CSRF)

Cosa è il cross-site request forgery (CSRF)

Redazione RHC : 31 Gennaio 2022 07:38

Autore: Damiano Capo

Data Pubblicazione: 31/01/2022

Il Cross Site Request Forgery, o più semplicemente CSRF, è una vulnerabilità che affligge i siti web dinamici quando sono implementati per ricevere richieste da un client senza meccanismi di controllo sull’intenzionalità della richiesta.


Banner 600x900 Betti Rha Cybersecurity Awareness

Cybersecurity Awareness per la tua azienda? Scopri BETTI RHC!

Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? 
Red hot cyber ha sviluppato da diversi anni una Graphic Novel, l'unica nel suo genere nel mondo, che consente di formare i dipendenti sulla sicurezza informatica attraverso la lettura di un fumetto.
Scopri di più sul corso a fumetti di Red Hot Cyber. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]


Supporta Red Hot Cyber attraverso: 

  1. L'acquisto del fumetto sul Cybersecurity Awareness
  2. Ascoltando i nostri Podcast
  3. Seguendo RHC su WhatsApp
  4. Seguendo RHC su Telegram
  5. Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber

Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

A differenza del Cross Site Scripting (XSS) che sfrutta la fiducia di un utente in un particolare sito, il CSRF sfrutta la fiducia di un sito nel browser di un utente.

Gli attacchi CSRF sfruttano l’architettura di base del protocollo HTTP e della comunicazione di dati in Internet, ovvero le sessioni di autenticazione e i cookie inviati ai browser. In pratica, l’attaccante non inganna l’utente vero e proprio, ma il suo browser, facendogli inviare una richiesta a un’applicazione web in cui si è precedentemente autenticato e per cui non ha fatto il logout.

Questo tipo di attacchi è sfruttabile perché, per velocizzare la navigazione, sul Web è possibile passare ad aree protette per cui abbiamo già fatto il login provenendo da un sito esterno, ad esempio puoi visitare il profilo di un utente Facebook facendo clic sul link apposito che si trova nel suo sito web personale.

Queste sono appunto le richieste cross-site e sono possibili grazie all’autenticazione delle sessioni utente tramite i cookie salvati nel browser. Se questo tipo di operazione non fosse possibile, ogni volta che apriamo una pagina di Facebook o di qualsiasi altra applicazione web protetta da password dovremmo inserire di nuovo le credenziali.

Il problema si presenta quando un’attaccante ne approfitta per creare del codice, ad esempio un sito ma anche un malware, che inganna il browser dell’utente già autenticato presso l’applicazione web presa di mira. Come? Ad esempio con un sito web di phishing, in cui l’utente fa clic su un elemento come un link o un pulsante e, invece dell’azione prevista, ne esegue un’altra dannosa senza saperlo.

Scenario di attacco

Ecco come si svolge un attacco cross site request al conto bancario online di un’utente:

  1. Mario Rossi, il nostro utente fittizio, si collega a Banca.com per consultare il saldo del suo conto.
  2. Mario NON fa il logout su Banca.com e chiude la scheda del browser. La sessione sul sito di e-banking è ancora attiva.
  3. Mario continua a navigare con il browser e finisce sul sito di phishing Info Investimenti. Qui, inserisce la propria email e fa clic sul pulsante Invia per iscriversi alla newsletter.
  4. In realtà, Info Investimenti è una copertura e il pulsante Invia non esegue nessuna registrazione, ma invia una richiesta al sito Banca.com tramite la sessione autenticata in precedenza nel browser per fare un bonifico di 10.000 euro sul conto del cybercriminale.

Funziona proprio così? È davvero così facile? Fino a qualche anno fa sì, ma per fortuna oggi la maggior parte dei siti non è più vulnerabile ad attacchi così semplici. Andiamo a vedere quali sono i sistemi di sicurezza a disposizione delle applicazioni web.



Figure 1: Scenario di un CSRF

Cybersecurity contro gli attacchi CSRF, lato Web

I siti e le app che ospitano applicazioni web hanno a disposizione i seguenti sistemi di sicurezza per mitigare la vulnerabilità agli attacchi di cross site request forgery:

  1. Token anti-CSRF: in fase di autenticazione, l’applicazione rilascia un token, ovvero un codice alfanumerico univoco che identifica ogni richiesta inviata. In seguito, l’applicazione non accetterà nessuna richiesta sprovvista di un token valido, che un eventuale cybercriminale non sarà in grado di falsificare.
  2. Header http: si possono impostare filtri a livello dei referrer delle richieste inviate dal browser all’applicazione web, così è possibile escludere domini e siti indesiderati.
  3. Verifica in due passaggi: per sezioni di siti e operazioni importanti, l’ideale è prevedere un secondo livello di sicurezza, ad esempio una OTP (one time password) inviata tramite SMS, un codice PIN aggiuntivo o la compilazione di un CAPTCHA.

Mitigazione dagli attacchi CSRF, lato utente

E noi utenti, che cosa possiamo fare per difenderci da questo tipo di attacchi? Innanzitutto, se guardiamo alla dinamica delle cross site request forgery, notiamo che tutto inizia con un sito o un messaggio di phishing.

Affinché questo attacco vada a segno, non solo il sistema finale deve essere vulnerabile ma l’utente deve anche fare clic su un elemento e inviare una richiesta tramite il browser (senza sapere che in realtà è una richiesta ingannevole).

Poi, come abbiamo visto, questi attacchi vanno a segno quando lasciamo aperta la sessione sul sito target. Per i social media sappiamo che non è pensabile inserire ogni volta le credenziali, ma per servizi con dati più critici, come l’app di e-banking o la piattaforma di sviluppo del tuo sito, ti consigliamo vivamente di fare il logout alla fine di ogni utilizzo.

Immagine del sitoRedazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Immagine del sito
I detenuti hackerano il carcere: pene ridotte, fondi trasferiti e visite non autorizzate
Di Redazione RHC - 18/10/2025

Il sistema penitenziario rumeno si è trovato al centro di un importante scandalo digitale: i detenuti di Târgu Jiu hanno hackerato la piattaforma interna dell’ANP e, per diversi mesi, hanno gestit...

Immagine del sito
Usare una VPN per vedere contenuti per adulti? In Wisconsin sarà un reato
Di Redazione RHC - 18/10/2025

Le autorità del Wisconsin hanno deciso di andare oltre la maggior parte degli altri stati americani nel promuovere la verifica obbligatoria dell’età per l’accesso a contenuti per adulti. L’AB ...

Immagine del sito
Operazione SIMCARTEL: 1.200 SIM-box e 40.000 schede SIM fermate da Europol
Di Redazione RHC - 18/10/2025

Il 10 ottobre 2025 le autorità lettoni hanno condotto una giornata di azione che ha portato all’arresto di cinque cittadini lettoni sospettati di gestire un’articolata rete di frodi telematiche. ...

Immagine del sito
Phishing contro PagoPA: nuova campagna abusa di open redirect Google
Di Redazione RHC - 17/10/2025

Il CERT-AGID ha rilevato una nuova variante del phishing ai danni di PagoPA. La campagna, ancora a tema multe come le precedenti, sfrutta questa volta un meccanismo di open redirect su domini legittim...

Immagine del sito
Nvidia perde il 95% dal mercato AI Cinese! Le restrizioni all’export fanno crollare la quota
Di Redazione RHC - 17/10/2025

Jen-Hsun Huang, fondatore e CEO di Nvidia, ha rivelato che le recenti restrizioni all’esportazione hanno drasticamente ridotto la presenza dei chip AI dell’azienda in Cina, passando dal 95% a una ...