CSRF (تزوير الطلبات عبر المواقع)
هجوم يُجبر المستخدمين المصادق عليهم على تنفيذ إجراءات غير مرغوبة في تطبيق ويب عن طريق خداعهم للنقر على روابط ضارة أو إرسال نماذج.
التعريف
يستغل CSRF ثقة تطبيق الويب في متصفح المستخدم. عندما يكون المستخدم مسجلاً الدخول إلى موقع، يتم إرسال ملفات تعريف الجلسة تلقائياً مع كل طلب. يقوم المهاجمون بإنشاء صفحات ضارة ترسل طلبات إلى الموقع المستهدف، وتنفذ الإجراءات كمستخدم مصادق عليه. تشمل الدفاعات الحديثة رموز CSRF وملفات تعريف SameSite والتحقق من الأصل.
لماذا هو مهم
CSRF مدرج في قائمة OWASP Top 10 وأثر على مواقع كبرى مثل YouTube وNetflix. بدون حماية، يمكن للمهاجمين تغيير كلمات المرور أو تحويل الأموال أو تعديل بيانات المستخدم. تتضمن الأطر الحديثة (Rails، Django، Next.js) حماية CSRF مدمجة.
مثال
مستخدم مسجل الدخول إلى بنكه. يزور موقعاً ضاراً يحتوي على نموذج مخفي يرسل طلب POST لتحويل الأموال إلى API البنك. نظراً لإرسال ملف تعريف الجلسة تلقائياً، يعالج البنك التحويل كما لو أن المستخدم بدأه.