ContattiPubblicità
Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Condividi la tua difesa. Incoraggia l'eccellenza.
La vera forza della cybersecurity risiede
nell'effetto moltiplicatore della conoscenza.
TM RedHotCyber 970x120 042543
Fortinet 320x100px
Cosa è il cross-site request forgery (CSRF)

Cosa è il cross-site request forgery (CSRF)

31 Gennaio 2022 07:38

Autore: Damiano Capo

Data Pubblicazione: 31/01/2022

Il Cross Site Request Forgery, o più semplicemente CSRF, è una vulnerabilità che affligge i siti web dinamici quando sono implementati per ricevere richieste da un client senza meccanismi di controllo sull’intenzionalità della richiesta.

A differenza del Cross Site Scripting (XSS) che sfrutta la fiducia di un utente in un particolare sito, il CSRF sfrutta la fiducia di un sito nel browser di un utente.

Gli attacchi CSRF sfruttano l’architettura di base del protocollo HTTP e della comunicazione di dati in Internet, ovvero le sessioni di autenticazione e i cookie inviati ai browser. In pratica, l’attaccante non inganna l’utente vero e proprio, ma il suo browser, facendogli inviare una richiesta a un’applicazione web in cui si è precedentemente autenticato e per cui non ha fatto il logout.

Questo tipo di attacchi è sfruttabile perché, per velocizzare la navigazione, sul Web è possibile passare ad aree protette per cui abbiamo già fatto il login provenendo da un sito esterno, ad esempio puoi visitare il profilo di un utente Facebook facendo clic sul link apposito che si trova nel suo sito web personale.

Queste sono appunto le richieste cross-site e sono possibili grazie all’autenticazione delle sessioni utente tramite i cookie salvati nel browser. Se questo tipo di operazione non fosse possibile, ogni volta che apriamo una pagina di Facebook o di qualsiasi altra applicazione web protetta da password dovremmo inserire di nuovo le credenziali.

Il problema si presenta quando un’attaccante ne approfitta per creare del codice, ad esempio un sito ma anche un malware, che inganna il browser dell’utente già autenticato presso l’applicazione web presa di mira. Come? Ad esempio con un sito web di phishing, in cui l’utente fa clic su un elemento come un link o un pulsante e, invece dell’azione prevista, ne esegue un’altra dannosa senza saperlo.

Scenario di attacco

Ecco come si svolge un attacco cross site request al conto bancario online di un’utente:

  1. Mario Rossi, il nostro utente fittizio, si collega a Banca.com per consultare il saldo del suo conto.
  2. Mario NON fa il logout su Banca.com e chiude la scheda del browser. La sessione sul sito di e-banking è ancora attiva.
  3. Mario continua a navigare con il browser e finisce sul sito di phishing Info Investimenti. Qui, inserisce la propria email e fa clic sul pulsante Invia per iscriversi alla newsletter.
  4. In realtà, Info Investimenti è una copertura e il pulsante Invia non esegue nessuna registrazione, ma invia una richiesta al sito Banca.com tramite la sessione autenticata in precedenza nel browser per fare un bonifico di 10.000 euro sul conto del cybercriminale.

Funziona proprio così? È davvero così facile? Fino a qualche anno fa sì, ma per fortuna oggi la maggior parte dei siti non è più vulnerabile ad attacchi così semplici. Andiamo a vedere quali sono i sistemi di sicurezza a disposizione delle applicazioni web.



Figure 1: Scenario di un CSRF

Cybersecurity contro gli attacchi CSRF, lato Web

I siti e le app che ospitano applicazioni web hanno a disposizione i seguenti sistemi di sicurezza per mitigare la vulnerabilità agli attacchi di cross site request forgery:

  1. Token anti-CSRF: in fase di autenticazione, l’applicazione rilascia un token, ovvero un codice alfanumerico univoco che identifica ogni richiesta inviata. In seguito, l’applicazione non accetterà nessuna richiesta sprovvista di un token valido, che un eventuale cybercriminale non sarà in grado di falsificare.
  2. Header http: si possono impostare filtri a livello dei referrer delle richieste inviate dal browser all’applicazione web, così è possibile escludere domini e siti indesiderati.
  3. Verifica in due passaggi: per sezioni di siti e operazioni importanti, l’ideale è prevedere un secondo livello di sicurezza, ad esempio una OTP (one time password) inviata tramite SMS, un codice PIN aggiuntivo o la compilazione di un CAPTCHA.

Mitigazione dagli attacchi CSRF, lato utente

E noi utenti, che cosa possiamo fare per difenderci da questo tipo di attacchi? Innanzitutto, se guardiamo alla dinamica delle cross site request forgery, notiamo che tutto inizia con un sito o un messaggio di phishing.

Affinché questo attacco vada a segno, non solo il sistema finale deve essere vulnerabile ma l’utente deve anche fare clic su un elemento e inviare una richiesta tramite il browser (senza sapere che in realtà è una richiesta ingannevole).

Poi, come abbiamo visto, questi attacchi vanno a segno quando lasciamo aperta la sessione sul sito target. Per i social media sappiamo che non è pensabile inserire ogni volta le credenziali, ma per servizi con dati più critici, come l’app di e-banking o la piattaforma di sviluppo del tuo sito, ti consigliamo vivamente di fare il logout alla fine di ogni utilizzo.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Immagine del sito
Redazione

La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Immagine del sito
Apple: multa di 115 milioni di dollari dal Garante della Concorrenza e del Mercato italiano
Redazione RHC - 22/12/2025

L’Autorità Garante della Concorrenza e del Mercato italiana (AGCM) ha imposto una sanzione significativa ad Apple. La sanzione ammonta a 98,6 milioni di euro, ovvero circa 115 milioni di dollari. ed è relativa a al…

Immagine del sito
Phishing NoiPA: analisi tecnica di una truffa che sfrutta aumenti e arretrati
Simone D'Agostino - 22/12/2025

“Salve.” Non “Gentile”, non “Spettabile”, non nome e cognome.Solo “Salve.” A leggerla così, fa quasi tenerezza. Sembra l’inizio di una mail scritta di corsa, magari riciclata da un modello vecchio, senza nemmeno lo sforzo di…

Immagine del sito
Cybersecurity Italia 2026: tra ransomware, supply chain e sicurezza nazionale
Roberto Villani - 22/12/2025

In Italia la cybersicurezza non è più un tema da “reparto IT”. È una questione di sicurezza nazionale, resilienza economica e tenuta democratica. Se si leggono insieme tre livelli di fonte pubblica — Relazione annuale…

Immagine del sito
PuTTY, il cavallo di Troia perfetto: come gli hacker si nascondono nei tool più usati dagli IT
Redazione RHC - 22/12/2025

Gli hacker amano sfruttare i tool più innocui per infiltrarsi nelle reti dei loro obiettivi e questo noi tutti lo sappiamo. E, in questo caso, stanno puntando a PuTTY, il client SSH popolare. È come…

Immagine del sito
Account Microsoft 365 violati senza password: ecco il nuovo incubo OAuth
Redazione RHC - 22/12/2025

I criminali informatici stanno diventando sempre più furbi e hanno trovato un nuovo modo per sfruttare i protocolli di sicurezza aziendali. Sembra incredibile, ma è vero: stanno usando una funzionalità di autenticazione Microsoft legittima per…