Cross Site Request Forgery (CSRF)
El CSRF (del inglés Cross-site request forgery o falsificación de petición en sitios cruzados) es un tipo de exploit malicioso de un sitio web en el que comandos no autorizados son transmitidos por un usuario en el cual el sitio web confía. Esta vulnerabilidad es conocida también por otros nombres como XSRF, enlace hostil, ataque de un click, cabalgamiento de sesión, y ataque automático.
Un ejemplo muy clásico se da cuando un sitio web, llamémoslo "ejemplo1.com", posee un sistema de administración de usuarios. En dicho sistema, cuando un administrador se conecta y ejecuta el siguiente REQUEST GET, elimina al usuario de ID: "1010": http://ejemplo1.com/usuarios/eliminar/1010
Una forma de ejecutar la vulnerabilidad CSRF, se daría si otro sitio web, llamemos "ejemplo2.com", en su sitio web añade el siguiente código HTML:
<img src="http://ejemplo1.com/usuarios/eliminar/1010">
Cuando el usuario administrador (conectado en ejemplo1.com) navegue por este sitio atacante, su navegador web intentará buscar una imagen en la URL y al realizarse el REQUEST GET hacia esa URL y eliminará al usuario 1010.