CSRF (Falsificação de Solicitação entre Sites)
Um ataque que força usuários autenticados a executar ações indesejadas em uma aplicação web, enganando-os para clicar em links maliciosos ou enviar formulários.
Definicao
CSRF explora a confiança que uma aplicação web tem no navegador do usuário. Quando um usuário está logado em um site, seus cookies de sessão são enviados automaticamente com cada requisição. Atacantes criam páginas maliciosas que fazem requisições ao site alvo, executando ações como o usuário autenticado. Defesas modernas incluem tokens CSRF, cookies SameSite e verificação de origem.
Por que e importante
CSRF está listado no OWASP Top 10 e afetou sites importantes como YouTube e Netflix. Sem proteção, atacantes podem mudar senhas, transferir fundos ou modificar dados do usuário. Frameworks modernos (Rails, Django, Next.js) incluem proteção CSRF embutida.
Exemplo
Um usuário está logado no seu banco. Ele visita um site malicioso com um formulário oculto que envia uma requisição POST de transferência de dinheiro para a API do banco. Como o cookie de sessão é enviado automaticamente, o banco processa a transferência como se o usuário a tivesse iniciado.