CSRF, czyli Cross-Site Request Forgery, to atak, który wymusza na przeglądarce zalogowanego użytkownika wykonanie nieautoryzowanego requestu HTTP/HTTPS w aplikacji webowej. Działa bez wiedzy ofiary, wykorzystując jej aktywną sesję.

Z poziomu przeglądarki złośliwe żądanie wygląda na prawidłowe, więc aplikacja nie jest w stanie wykryć, że została zmanipulowana. Może ono pochodzić np. z ze spreparowanej strony internetowej.

Mechanizm CSRF opiera się na założeniu, że użytkownik ma aktywną sesję w docelowym systemie. Może być to np. panel administracyjny, konto e-mail czy system ERP. Gdy ofiara odwiedza złośliwą stronę, przeglądarka automatycznie wykonuje żądanie umieszczone w jej kodzie, takie jak utworzenie nowego konta czy wykonanie przelewu.

W zestawieniu CWE Top 25 Most Dangerous Software Weaknesses, przygotowanym przez firmę MITRE, Cross-Site Request Forgery zajęło czwarte miejsce, ustępując m.in. SQL Injection i Cross-Site Scripting.

Atak CSRF może spowodować bezpośrednie skutki od razu po przetworzeniu żądania, ale też wyrządzić szersze szkody. Cyberprzestępca może bowiem wykorzystać uprawnienia administracyjne ofiary i wprowadzić do systemu backdoor pozwalający uzyskać pełny dostęp do firmowych zasobów.

Możliwe skutki ataku CSRF to m.in.:

• Przejęcie kont administratorów – poprzez zmianę ustawień lub przypisanie nowych uprawnień atakujący może uzyskać pełną kontrolę nad systemem. W efekcie organizacja traci nadzór nad własną infrastrukturą IT.
• Nieautoryzowane operacje finansowe – cyberprzestępca może zainicjować przelew czy zmienić dane rachunków bankowych. Firma naraża się na bezpośrednie straty finansowe, a odzyskanie pieniędzy często jest niemożliwe.
• Utrata integralności danych – atakujący, uzyskawszy dostęp z uprawnieniami administratora, może modyfikować lub usuwać dane w firmowych systemach. Powoduje to chaos operacyjny, błędne decyzje biznesowe i spadek jakości usług.
• Kompromitacja systemów CRM i ERP – dostęp do danych klientów i informacji o procesach biznesowych umożliwia przestępcy ich ujawnienie, zaszyfrowanie lub usunięcie. Firma ryzykuje wówczas utratę kontraktów i pogorszenie relacji z klientami.
• Utrata reputacji – ujawnienie incydentu może osłabić zaufanie klientów, partnerów i inwestorów, natomiast odbudowa wizerunku bywa kosztowna i czasochłonna.
• Ryzyko naruszenia regulacji prawnych – incydent prowadzący do wycieku danych osobowych może skutkować karami finansowymi.
• Utrata przewagi konkurencyjnej – nieautoryzowany dostęp do takich dokumentów jak cenniki czy strategie, daje cyberprzestępcy możliwość ich sprzedaży lub ujawnienia.

Udany atak może uderzyć w działalność operacyjną przedsiębiorstwa, a także długofalowo zachwiać jego stabilnością ze względu na wysokie straty finansowe i wizerunkowe.

Według Edgescan Vulnerability Statistics Report 2024 podatności CSRF stanowiły 2,1% wszystkich wykrytych luk o wysokiej lub krytycznej wadze dla aplikacji webowych. Cross-Site Request Forgery było też najpowszechniejszą podatnością aplikacji w sektorze bankowym oraz ubezpieczeniowym.

Problemem okazują się być nie tylko skutki ataku, ale też trudności jego wykrycia. W odróżnieniu od włamań z użyciem brute force czy malware, CSRF nie generuje bowiem oczywistych śladów. Działania podejmowane przez atakującego są wykonywane w tle przez zalogowanego użytkownika.

Mimo to można zauważyć pewne symptomy, które powinny wzbudzić niepokój:

• nieoczekiwane zmiany w ustawieniach konta,
• nietypowe działania przypisane do konta,
• niestandardowe żądania HTTP i HTTPS w logach,
• nadmierna liczba akcji podejmowana w krótkim czasie,
• zgłoszenia użytkowników o utracie kontroli nad kontem,
• pojawienie się nowych kont w systemie.

Warto także zwrócić uwagę na sytuacje, w których użytkownik wykonuje daną operację bez poprzedzającego ją działania w interfejsie aplikacji. Wiedząc, co to jest CSRF, można na tej podstawie wskazać, że żądanie zostało wywołane z zewnątrz.

Skuteczna ochrona przed atakami CSRF wymaga wdrożenia konkretnych rozwiązań po stronie aplikacji i infrastruktury. Zabezpieczenia powinny być wielowarstwowe i uwzględniać zarówno kwestie techniczne, jak i organizacyjne.

Główne zabezpieczenia przed atakami CSRF to:

• Tokeny CSRF – każda operacja modyfikująca dane powinna wymagać unikalnego tokena. Tokeny powinny być jednorazowe, losowe i przypisane do sesji.
• Weryfikacja nagłówków HTTP – aplikacja może sprawdzać nagłówek Origin lub Referer, aby upewnić się, że żądanie pochodzi z zaufanej domeny.
• Ograniczenie metod HTTP – modyfikacje danych nie powinny być obsługiwane przez metodę GET.
• Ograniczenie czasowe sesji – skrócenie czasu sesji i automatyczne wylogowanie użytkownika po okresie bezczynności ogranicza okno ataku.

Firmy, które chcą zwiększyć poziom zabezpieczeń bez angażowania własnych zasobów IT, mogą skorzystać ze specjalnej usługi z zakresu cyberbezpieczeństwa – Netia Managed WAF. To Web Application Firewall, który analizuje ruch HTTP i automatycznie blokuje żądania mogące wskazywać na próbę ataku. System wykrywa nietypowe zachowania, nieprawidłowe nagłówki oraz żądania bez wymaganych tokenów. Managed WAF działa w trybie ciągłego monitoringu, a jego konfiguracją i aktualizacją zajmują się doświadczeni inżynierowie Netii. Dzięki temu organizacja nie musi posiadać własnych specjalistów z zakresu bezpieczeństwa aplikacji.

Warto także skorzystać z usługi Netia Testy Podatności i co jakiś czas przeprowadzać skany systemów IT, w tym także aplikacji webowych. Celem takich działań jest wykrycie potencjalnych słabości, które mogłyby ułatwić uzyskanie nieautoryzowanego dostępu do danych.

Innym istotnym elementem są testy penetracyjne – niezbędne w procesie ograniczania ryzyka i dbania o ekosystem cyberbezpieczeństwa.