CSRF (англ. Сross Site Request Forgery — «Подделка межсайтовых запросов», также известен как XSRF) — вид атак на посетителей веб-сайтов, использующий недостатки протокола HTTP. Если жертва заходит на сайт, созданный злоумышленником, от её лица тайно отправляется запрос на другой сервер (например, на сервер платёжной системы), осуществляющий некую вредоносную операцию (например, перевод денег на счёт злоумышленника). Для осуществления данной атаки, жертва должна быть авторизована на том сервере, на который отправляется запрос, и этот запрос не должен требовать какого-либо подтверждения со стороны пользователя, который не может быть проигнорирован или подделан атакующим скриптом.
Данный тип атак, вопреки распространённому заблуждению, появился достаточно давно: первые теоретические рассуждения появились в 1988 году, а первые уязвимости были обнаружены в 2000 году.
Одно из применений CSRF — эксплуатация пассивных XSS, обнаруженных на другом сервере. Также возможны отправка писем (спам) от лица жертвы и изменение каких-либо настроек учётных записей на других сайтах (например, секретного вопроса для восстановления пароля).
Итак, CSRF расшифровывается как “Cross-Site Request Forgery” (Межсайтовая подделка запроса). Данный способ атаки подразумевает имитирование запроса пользователя к некоему стороннему сайту. Эта уязвимость получила очень широкое распространение, виной чему - особенность архитектуры большинства веб-приложений. Точнее говоря - в силу того, что целый ряд веб-приложений не способен однозначно определить и идентифицировать пользователя по отношению к тому или иному запросу.
В качестве примера - приведем процедуру изменения профиля в IPB или phpBB... при изменении uin ICQ, либо адреса домашней странички у Вас не спрашивают пароля, не просят ввести код с какой бы тот ни было картинки. Иными словами - в данном случае единственным средством распознавания клиента являются cookies либо сессия (или referer). Соответственно - если с помощью определённого кода заставить браузер отправить нужный нам запрос на сторонний сайт, то запрос может вполне нормально пройти даже к тем скриптам, в которых нужна авторизация – ведь браузер при запросах к сайту отправляет ему и cookies. Главное - чтобы пользователь заранее был авторизирован.
В контексте защиты от “Cross-Site Request Forgery” - да, разработчики современных компонентов joomla стараются предусмотреть защиту от такого рода атак. Навскидку, актуальная версия Uddeim включает подобную защиту:
Данная опция защищает от всех типов атак Cross-Site Request Forgery (так называемая "Подделка межсайтовых запросов"). Рекомендуем включить ее. Отключайте только, если у вас возникли какие-то проблемы.
