Cross-Site Request Forgery (CSRF)

Video: Cross-Site Request Forgery (CSRF) Explained

Inhalt

Definition - Was bedeutet Cross-Site Request Forgery (CSRF)?
Eine Einführung in Microsoft Azure und die Microsoft Cloud | In diesem Handbuch erfahren Sie, worum es beim Cloud-Computing geht und wie Microsoft Azure Sie bei der Migration und Ausführung Ihres Unternehmens aus der Cloud unterstützen kann.
Techopedia erklärt Cross-Site Request Forgery (CSRF)

Definition - Was bedeutet Cross-Site Request Forgery (CSRF)?

Cross-Site Request Forgery (CSRF) ist eine Art von Website-Exploit, bei dem nicht autorisierte Befehle von einem vertrauenswürdigen Website-Benutzer ausgegeben werden. CSRF nutzt die Vertrauenswürdigkeit einer Website für den Browser eines bestimmten Benutzers aus, im Gegensatz zu Cross-Site-Scripting, bei dem die Vertrauenswürdigkeit des Benutzers für eine Website ausgenutzt wird.

Dieser Begriff wird auch als Sitzungsreiten oder Ein-Klick-Angriff bezeichnet.

Eine Einführung in Microsoft Azure und die Microsoft Cloud | In diesem Handbuch erfahren Sie, worum es beim Cloud-Computing geht und wie Microsoft Azure Sie bei der Migration und Ausführung Ihres Unternehmens aus der Cloud unterstützen kann.

Techopedia erklärt Cross-Site Request Forgery (CSRF)

Ein CSRF verwendet normalerweise den Befehl "GET" des Browsers als Exploit-Punkt. CSR-Fälscher verwenden HTML-Tags wie "IMG", um Befehle in eine bestimmte Website einzufügen. Ein bestimmter Benutzer dieser Website wird dann als Host und unabsichtlicher Komplize verwendet. Oft weiß die Website nicht, dass sie angegriffen wird, da ein legitimer Benutzer die Befehle ausführt. Der Angreifer kann eine Anfrage stellen, um Geld auf ein anderes Konto zu überweisen, mehr Geld abzuheben oder im Fall von PayPal und ähnlichen Websites Geld auf ein anderes Konto zu überweisen.

Ein CSRF-Angriff ist schwer auszuführen, da eine Reihe von Dingen passieren müssen, damit er erfolgreich ist:

Der Angreifer muss entweder auf eine Website abzielen, die den Referrer-Header nicht überprüft (was häufig vorkommt), oder auf einen Benutzer / Opfer mit einem Browser oder einem Plug-In-Bug, der Referrer-Spoofing ermöglicht (was selten vorkommt).
Der Angreifer muss ein Formular auf der Zielwebsite finden, das in der Lage sein muss, die Anmeldeinformationen der Opferadresse zu ändern oder Geldtransfers durchzuführen.
Der Angreifer muss die korrekten Werte für alle Formulare oder URL-Eingaben ermitteln. Wenn es sich bei einem davon um geheime Werte oder IDs handeln muss, die der Angreifer nicht genau erraten kann, schlägt der Angriff fehl.
Der Angreifer muss den Benutzer / das Opfer auf eine Webseite mit bösartigem Code locken, während das Opfer auf der Zielsite angemeldet ist.

Angenommen, Person A durchsucht sein Bankkonto, während sie sich ebenfalls in einem Chatroom befindet. Im Chatraum befindet sich ein Angreifer (Person B), der erfährt, dass Person A auch bei bank.com angemeldet ist. Person B lockt Person A an, auf einen Link zu klicken, um ein lustiges Bild zu erhalten. Das "IMG" -Tag enthält Werte für die Formulareingaben von bank.com, mit denen ein bestimmter Betrag vom Konto von Person A auf das Konto von Person B übertragen wird. Wenn bank.com keine sekundäre Authentifizierung für Person A hat, bevor die Gelder überwiesen wurden, ist der Angriff erfolgreich.