He pasado por el ejemplo de transferencia de fondos CSRF desde un banco donde el usuario ha iniciado sesión. Del mismo modo, he mirado CSRF en caso de actualización de correo electrónico. Creo que lo entendí, pero no estoy seguro de si se extiende también a las solicitudes no autenticadas / a las presentaciones de formularios. Ahora estoy tratando de averiguar el impacto de CSRF, particularmente en referencia al contexto que se proporciona a continuación.
Supongamos un sitio web de compras donde los usuarios autenticados y no autenticados pueden navegar y comprar. Imagine un escenario en el que un usuario no autenticado navega y agrega un artículo a su carrito (aún no autenticado). Más tarde decide realizar el pago y se le redirige a la página de pago sin iniciar sesión (el usuario invitado no autorizado o acceso a este último ha sido escalado. El usuario ahora ingresa su información personal (sobre SSL) como correo electrónico, dirección, teléfono, información de tarjeta de crédito , etc. Su compra está completa y cierra la aplicación. Puede rastrear / actualizar el pedido usando el enlace enviado a su correo electrónico o número de pedido.
-
Dado que el usuario nunca puede autenticarse en esta aplicación, ¿es necesario que todos los formularios / solicitudes aún estén protegidos contra CSRF? Si no, ¿en qué caso se debe implementar la protección CSRF?
-
¿Además, las búsquedas deben estar protegidas contra CSRF para usuarios no autenticados o no registrados? Sería genial si pudiera responder por ambos. ¿Qué hay de los comentarios de los visitantes (no registrados)?
-
¿Se requieren comprobaciones de referencia incluso después de que los tokens se utilizan para la protección CSRF? No lo creo, todavía me estoy asegurando. (No está particularmente relacionado con el escenario anterior).
-
¿Qué importancia tiene iniciar sesión en CSRF para sitios web de comercio electrónico?
Avíseme si me he perdido algo aquí, todavía estoy tratando de entender completamente CSRF, su impacto y los riesgos asociados en varios escenarios.
P.S. Algunos escáneres lanzan CSRF en cada envío de formulario sin tokens aleatorios o comprobaciones de referencia.