Inhoudsopgave:
- Definitie - Wat betekent Cross-Site Request Forgery (CSRF)?
- Techopedia verklaart Cross-Site Request Forgery (CSRF)
Definitie - Wat betekent Cross-Site Request Forgery (CSRF)?
Cross-site request forgery (CSRF) is een type website-exploit uitgevoerd door het uitvoeren van ongeautoriseerde opdrachten van een vertrouwde websitegebruiker. CSRF maakt gebruik van het vertrouwen van een website voor de browser van een bepaalde gebruiker, in tegenstelling tot cross-site scripting, dat het vertrouwen van de gebruiker voor een website misbruikt.
Deze term wordt ook wel sessie rijden of een aanval met één klik genoemd.
Techopedia verklaart Cross-Site Request Forgery (CSRF)
Een CSRF gebruikt meestal de opdracht "GET" van een browser als exploiteerpunt. CSR-vervalsers gebruiken HTML-tags zoals "IMG" om opdrachten in een specifieke website te injecteren. Een bepaalde gebruiker van die website wordt vervolgens gebruikt als gastheer en een ongewild medeplichtige. Vaak weet de website niet dat deze wordt aangevallen, omdat een legitieme gebruiker de opdrachten verzendt. De aanvaller kan een verzoek indienen om geld naar een ander account over te dragen, meer geld opnemen of, in het geval van PayPal en soortgelijke sites, geld naar een ander account sturen.
Een CSRF-aanval is moeilijk uit te voeren omdat een aantal dingen moet gebeuren om te slagen:
- De aanvaller moet zich richten op een website die de verwijzende koptekst (wat gebruikelijk is) niet controleert, of een gebruiker / slachtoffer met een browser of een plug-in-bug die verwijzende spoofing toestaat (wat zeldzaam is).
- De aanvaller moet een formulierinzending op de doelsite zoeken, die in staat moet zijn om de inloggegevens van het e-mailadres van het slachtoffer te wijzigen of geldoverboekingen te doen.
- De aanvaller moet de juiste waarden bepalen voor alle invoer van het formulier of de URL. Als een van deze geheime waarden of ID's moet zijn die de aanvaller niet nauwkeurig kan raden, mislukt de aanval.
- De aanvaller moet de gebruiker / het slachtoffer naar een webpagina met schadelijke code lokken terwijl het slachtoffer is aangemeld bij de doelsite.
Stel bijvoorbeeld dat persoon A op zijn bankrekening bladert terwijl hij zich ook in een chatruimte bevindt. Er is een aanvaller (persoon B) in de chatroom die ontdekt dat persoon A ook is aangemeld bij bank.com. Persoon B lokt persoon A om op een link te klikken voor een grappige afbeelding. De tag "IMG" bevat waarden voor formulierinvoer van bank.com, die een bepaald bedrag van de rekening van persoon A effectief overzet naar de rekening van persoon B. Als bank.com geen secundaire authenticatie heeft voor persoon A voordat het geld is overgemaakt, is de aanval succesvol.
