Lo siento muy nuevo en seguridad.
Si un usuario inicia sesión en un sitio seguro (las credenciales son SSN y una contraseña) y luego es víctima de un CSRF, ¿puede estar en riesgo su información de inicio de sesión?
Un ataque CSRF es un ataque ciego donde el atacante puede controlar la solicitud enviada al servidor, pero debido a la misma política de origen no puede obtener el contenido de la respuesta HTTP. Para obtener la respuesta, uno necesitaría algo como ataques de secuencias de comandos entre sitios o de DNS. Ese es al menos el caso con el comportamiento predeterminado, pero si el servidor de destino emplea una política CORS
Pero uno todavía puede causar mucho daño, como cambiar la configuración de DNS en un enrutador y desde ese momento ser el hombre del medio. Vea Cómo se piratearon millones de módems DSL en Brasil ... .
Potencialmente, sí. Pero solo si tienes problemas de seguridad mucho peores. Si expone los puntos finales que inician la transferencia de datos a una nueva ubicación (como cambiar la dirección de correo electrónico en una cuenta), un ataque CSRF permite al atacante enviar una solicitud a este, lo que podría permitir el acceso a sus datos.
Sin embargo, en general no, los ataques CSRF son ciegos y, a menudo, utilizan cosas como iFrames que el atacante no puede leer.
Hay una serie de precauciones que puede tomar, que incluyen tokens de verificación que se están utilizando en cualquier solicitud que pueda causar exposición a la información.
Sí y no . Sí, porque puede modificar la información sin el consentimiento del usuario, pero no porque no puede recopilar información. CSRF es un ataque ciego.
CSRF es sinónimo de falsificación de solicitud entre sitios. La idea es que cuando visite un sitio malicioso, este sitio iniciará una solicitud a un sitio de destino. Por ejemplo:
Visito a malware.com y cuando llego a su página, hacen una publicación en stackoverflow.com/change_password?new_password=abc. Si stackoverflow no se protege del ataque CSRF, el atacante podría haber cambiado mi contraseña en stackoverflow.
La razón por la cual los ataques CSRF funcionan es que son iniciados por el usuario legítimo. Desde el punto de vista de stackoverflow, fui yo quien decidió cambiar mi contraseña, no el atacante, y por eso tuvo éxito. Si el atacante intentaba cambiar su contraseña desde su computadora, fallaría porque no iniciaría sesión en stackoverflow (como lo hace mi computadora).
¿Pero puede un atacante recopilar información de los ataques CSRF?
No. CSRF es un ataque ciego. El atacante no recibe retroalimentación de sus mensajes. Cuando intentó cambiar mi contraseña en stackoverflow, no recibió ninguna respuesta que confirmara que su ataque fue exitoso.
Incluso si estuviera usando iframe para lanzar la solicitud, no podría recopilar información sobre el resultado de su ataque debido a la misma política de origen.
Lea otras preguntas en las etiquetas csrf