Seguridad - Duda hacerca de ataques CSRF

<<>>
 
Vista:
sin imagen de perfil
Val: 1
Ha mantenido su posición en Seguridad (en relación al último mes)
Gráfica de Seguridad

Duda hacerca de ataques CSRF

Publicado por Pelayo (1 intervención) el 18/12/2018 09:31:23
Hola, estoy revisando la seguridad de mi aplicación web. Viendo todos los posibles casos de vulnerabilidades. Ahora estoy con los ataques 'Cross Site Request Forgery'.

Estudiándolos así por alto, veo que su finalidad es modificar algún parámetro de algún script mediante una petición GET oculta en una imagen por ejemplo:

1
<img src='process.php?action=logout'>

Con esto te ejecutas un script que está incluido en tu directorio, y con el que cierras la sesión de los usuarios, haciendo que un usuario si accede a un sitio que tiene esta imagen, se le cerrará la sesión de la aplicación.

Mi pregunta es si esto se puede evitar poniendo las funcionalidades que interactuan con el servidor (ficheros php) fuera del directorio raíz.

También he visto que se suele utilizar un token para verificar que quien está accediendo a determinado fichero, está validado en el servidor. Yo tengo implementado sesiones que validan que hay una sesión iniciada con el nombre del usuario, validado en la base de datos, pero creo que no es tan seguro como el token:
1
if (isset($_SESSION['username'])) {}
Valora esta pregunta
Me gusta: Está pregunta es útil y esta claraNo me gusta: Está pregunta no esta clara o no es útil
0
Responder