OWASP A01:2021 — Broken Access Control

Detector de CSRF

CSRF (Cross-Site Request Forgery) engaña al navegador para que realice peticiones no autorizadas. Detecta endpoints sin protección CSRF en tu código.

Analizar mi código gratis →

¿Qué es CSRF?

Un ataque CSRF induce a un usuario autenticado a ejecutar acciones no deseadas en una aplicación web. Por ejemplo, un enlace malicioso puede hacer que el navegador de la víctima envíe una petición para transferir dinero, cambiar email o borrar datos.

Ejemplo de ataque:

<!-- En página del atacante -->
<img src="https://bank.com/transfer?to=attacker&amount=1000" />
→ El navegador envía la request con las cookies de sesión del usuario

Cómo protegerse

Sin protección

@app.route('/transfer', methods=['POST'])
def transfer():
    amount = request.form['amount']
    # Sin verificación CSRF
    do_transfer(amount)

Con protección

@app.route('/transfer', methods=['POST'])
@csrf.protect  # Token CSRF validado
def transfer():
    amount = request.form['amount']
    do_transfer(amount)

¿Tus endpoints están protegidos?

Descúbrelo con análisis de IA. 5 análisis gratis al mes.

Analizar ahora → Gratis

Otras herramientas de seguridad

Detector de SQL Injection Detector de XSS Inyección de Comandos