CWE-352

Cross-Site Request Forgery (CSRF)

AI Translation Available

The web application does not, or cannot, sufficiently verify whether a request was intentionally provided by the user who sent the request, which could have originated from an unauthorized actor.

Status

stable

Abstraction

compound

Likelihood

medium

Affected Platforms

Web Based Web Server

Technical Details

AI Translation

Common Consequences

confidentiality integrity availability non-repudiation access control

Impacts

gain privileges or assume identity bypass protection mechanism read application data modify application data dos: crash, exit, or restart

Detection Methods

manual analysis automated static analysis automated static analysis - binary or bytecode manual static analysis - binary or bytecode dynamic analysis with automated results interpretation dynamic analysis with manual results interpretation manual static analysis - source code automated static analysis - source code architecture or design review

Potential Mitigations

Phases:

architecture and design implementation

Descriptions:

• Use a vetted library or framework that does not allow this weakness to occur or provides constructs that make this weakness easier to avoid [REF-1482]. For example, use anti-CSRF packages such as the OWASP CSRFGuard. [REF-330] Another example is the ESAPI Session Management control, which includes a component for CSRF. [REF-45]

• Ensure that the application is free of cross-site scripting issues (CWE-79), because most CSRF defenses can be bypassed using attacker-controlled script.

• Identify especially dangerous operations. When the user performs a dangerous operation, send a separate confirmation request to ensure that the user intended to perform that operation.

• Do not use the GET method for any request that triggers a state change.

• Generate a unique nonce for each form, place the nonce into the form, and verify the nonce upon receipt of the form. Be sure that the nonce is not predictable (CWE-330). [REF-332]

• Use the "double-submitted cookie" method as described by Felten and Zeller: When a user visits a site, the site should generate a pseudorandom value and set it as a cookie on the user's machine. The site should require every form submission to include this value as a form value and also as a cookie value. When a POST request is sent to the site, the request should only be considered valid if the form value and the cookie value are the same. Because of the same-origin policy, an attacker cannot read or modify the value stored in the cookie. To successfully submit a form on behalf of the user, the attacker would have to correctly guess the pseudorandom value. If the pseudorandom value is cryptographically strong, this will be prohibitively difficult. This technique requires Javascript, so it may not work for browsers that have Javascript disabled. [REF-331]

• Check the HTTP Referer header to see if the request originated from an expected page. This could break legitimate functionality, because users or proxies may have disabled sending the Referer for privacy reasons.

AI Generated Translation

Common Consequences

riservatezza integrità disponibilità non-ripudio controllo degli accessi

Impacts

ottenere privilegi o assumere identità elusione del meccanismo di protezione leggere dati applicazione modificare dati applicazione dos: crash, uscita o riavvio

Detection Methods

analisi manuale analisi statica automatizzata analisi statica automatizzata - binario o bytecode analisi statica manuale - binario o bytecode analisi dinamica con interpretazione automatica dei risultati analisi dinamica con interpretazione manuale dei risultati analisi statica manuale - codice sorgente analisi statica automatizzata - codice sorgente revisione dell'architettura o del design

Potential Mitigations

Phases:

architettura e design implementazione

Descriptions:

• Utilizzare una libreria o framework verificato che non consenta questa vulnerabilità o che fornisca costrutti che rendano più facile evitarla [REF-1482]. Ad esempio, utilizzare pacchetti anti-CSRF come OWASP CSRFGuard. [REF-330] Un altro esempio è il controllo di Gestione Sessioni di ESAPI, che include un componente per CSRF. [REF-45]

• Assicurarsi che l'applicazione sia priva di vulnerabilità di cross-site scripting (CWE-79), poiché la maggior parte delle difese contro CSRF può essere aggirata tramite script controllato dall'attaccante.

• Identifica operazioni particolarmente pericolose. Quando l'utente esegue un'operazione rischiosa, invia una richiesta di conferma separata per garantire che l'utente abbia intenzione di eseguire quell'operazione.

• Non utilizzare il metodo GET per alcuna richiesta che provoca un cambiamento di stato.

• Genera un nonce univoco per ogni modulo, inserisci il nonce nel modulo e verifica il nonce al ricevimento del modulo. Assicurati che il nonce non sia prevedibile (CWE-330). [REF-332]

• Utilizza il metodo del "cookie a doppio invio" come descritto da Felten e Zeller: Quando un utente visita un sito, il sito dovrebbe generare un valore pseudocasuale e impostarlo come cookie sul computer dell'utente. Il sito dovrebbe richiedere che ogni invio di modulo includa questo valore come campo del modulo e anche come valore del cookie. Quando viene inviato un request POST al sito, la richiesta dovrebbe essere considerata valida solo se il valore del campo del modulo e il valore del cookie sono uguali. A causa della politica same-origin, un attaccante non può leggere o modificare il valore memorizzato nel cookie. Per inviare con successo un modulo per conto dell'utente, l'attaccante dovrebbe indovinare correttamente il valore pseudocasuale. Se il valore pseudocasuale è crittograficamente forte, ciò risulterà proibitivamente difficile. Questa tecnica richiede Javascript, quindi potrebbe non funzionare sui browser che hanno Javascript disabilitato. [REF-331]

• Verifica l'intestazione HTTP Referer per vedere se la richiesta è originata da una pagina prevista. Questo potrebbe interrompere funzionalità legittime, poiché utenti o proxy potrebbero aver disabilitato l'invio del Referer per motivi di privacy.

CWE-352

Common Consequences

Impacts

Detection Methods

Potential Mitigations

Common Consequences

Impacts

Detection Methods

Potential Mitigations

Iscriviti alla newsletter