Änderungen

=== Cross-Site Request Forgery === Ein '''Cross-Site Request Forgery''' (entweder '''CSRF''' oder '''XSRF''' abgekürzt) Angriff wird dazu benutzt, einen auf einer Webseite angemeldeten Benutzer dazu zu bringen, einen manipulierten eine manipulierte [[HTTP]]-Request Anfrage über einen Browser an eine verwundbare Anwendung zu schicken. Da Es handelt sich dabei also um eine Website-übergreifende Anfragenfälschung. Wenn das Opfer bereits angemeldet ist, werden bei dem der abgesendeten Request Anfrage das Session [[Cookie|Sitzungs-Cookie ]] und weitere Authentifizierungsinformationen durch den Browser automatisch mit übertragen. Der Angreifer kann nun Aktionen in der verwundbaren Webanwendung mit den Sitzungsdaten des betroffenen Opfers ausführen.  === Wie CSRF-Angriffe verhindern? === Die jeweilige Webanwendung sollte Sicherheitsmechanismen unterstützen, die es ermöglichen, beabsichtigte Seitenaufrufe des Benutzers von unbeabsichtigt weitergeleiteten Befehlen Dritter zu unterscheiden. Desweiteren verhindern der Einsatz von [[Captcha|Captchas]] und individuelle [[Token|Tokens]] CSRF-Angriffe.  === Fazit === Mit einem '''Cross-Site Request Forgery''' Angriff kann man eine Menge Schaden anrichten. Richtig gefährlich wird es, wenn der eingeloggte und angegriffene Benutzer Adminrechte besitzt, denn in dem Fall können nicht nur seine Daten selbst, sondern auch die anderer in der Webanwendung eingetragener Benutzer manipuliert werden.   === Weiterführende Links zum Thema === * Wikipedia: https://de.wikipedia.org/wiki/Cross-Site-Request-Forgery* BSI: [https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m04/m04403.html Verhinderung von Cross-Site Request Forgery (CSRF, XSRF, Session Riding)] * PC-Magazin: [http://www.pc-magazin.de/ratgeber/erklaert-so-nutzen-hacker-cross-site-request-forgery-fuer-angriffe-213798.html So nutzen Hacker Cross Site Request Forgery für Angriffe]