Cross-Site Request Forgery: Unterschied zwischen den Versionen

Aus Siwecos
Wechseln zu: Navigation, Suche
 
Zeile 1: Zeile 1:
Ein '''Cross-Site Request Forgery''' (''CSRF'') Angriff wird dazu benutzt, einen auf einer Webseite angemeldeten Benutzer dazu zu bringen, einen manipulierten HTTP-Request an eine verwundbare Anwendung zu schicken. Da das Opfer bereits angemeldet ist, werden bei dem abgesendeten Request das Session Cookie und weitere Authentifizierungsinformationen durch den Browser automatisch mit übertragen. Der Angreifer kann nun Aktionen in der verwundbaren Webanwendung mit den Sitzungsdaten des betroffenen Opfers ausführen.
+
=== Cross-Site Request Forgery ===
 +
 
 +
Ein '''Cross-Site Request Forgery''' (entweder '''CSRF''' oder '''XSRF''' abgekürzt) Angriff wird dazu benutzt, einen auf einer Webseite angemeldeten Benutzer dazu zu bringen, eine manipulierte [[HTTP]]-Anfrage über einen Browser an eine verwundbare Anwendung zu schicken. Es handelt sich dabei also um eine Website-übergreifende Anfragenfälschung. Wenn das Opfer bereits angemeldet ist, werden bei der abgesendeten Anfrage das [[Cookie|Sitzungs-Cookie]] und weitere Authentifizierungsinformationen durch den Browser automatisch mit übertragen. Der Angreifer kann nun Aktionen in der verwundbaren Webanwendung mit den Sitzungsdaten des betroffenen Opfers ausführen.
 +
 
 +
 
 +
=== Wie CSRF-Angriffe verhindern? ===
 +
 
 +
Die jeweilige Webanwendung sollte Sicherheitsmechanismen unterstützen, die es ermöglichen, beabsichtigte Seitenaufrufe des Benutzers von unbeabsichtigt weitergeleiteten Befehlen Dritter zu unterscheiden. Desweiteren verhindern der Einsatz von [[Captcha|Captchas]] und individuelle [[Token|Tokens]] CSRF-Angriffe.
 +
 
 +
 
 +
=== Fazit ===
 +
 
 +
Mit einem '''Cross-Site Request Forgery''' Angriff kann man eine Menge Schaden anrichten. Richtig gefährlich wird es, wenn der eingeloggte und angegriffene Benutzer Adminrechte besitzt, denn in dem Fall können nicht nur seine Daten selbst, sondern auch die anderer in der Webanwendung eingetragener Benutzer manipuliert werden.
 +
 
 +
 
 +
=== Weiterführende Links zum Thema ===
 +
 
 +
* Wikipedia: https://de.wikipedia.org/wiki/Cross-Site-Request-Forgery
 +
* BSI: [https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m04/m04403.html Verhinderung von Cross-Site Request Forgery (CSRF, XSRF, Session Riding)]
 +
* PC-Magazin: [http://www.pc-magazin.de/ratgeber/erklaert-so-nutzen-hacker-cross-site-request-forgery-fuer-angriffe-213798.html So nutzen Hacker Cross Site Request Forgery für Angriffe]
  
 
[[Category:Glossar]]
 
[[Category:Glossar]]

Aktuelle Version vom 10. Juli 2017, 10:48 Uhr

Cross-Site Request Forgery

Ein Cross-Site Request Forgery (entweder CSRF oder XSRF abgekürzt) Angriff wird dazu benutzt, einen auf einer Webseite angemeldeten Benutzer dazu zu bringen, eine manipulierte HTTP-Anfrage über einen Browser an eine verwundbare Anwendung zu schicken. Es handelt sich dabei also um eine Website-übergreifende Anfragenfälschung. Wenn das Opfer bereits angemeldet ist, werden bei der abgesendeten Anfrage das Sitzungs-Cookie und weitere Authentifizierungsinformationen durch den Browser automatisch mit übertragen. Der Angreifer kann nun Aktionen in der verwundbaren Webanwendung mit den Sitzungsdaten des betroffenen Opfers ausführen.


Wie CSRF-Angriffe verhindern?

Die jeweilige Webanwendung sollte Sicherheitsmechanismen unterstützen, die es ermöglichen, beabsichtigte Seitenaufrufe des Benutzers von unbeabsichtigt weitergeleiteten Befehlen Dritter zu unterscheiden. Desweiteren verhindern der Einsatz von Captchas und individuelle Tokens CSRF-Angriffe.


Fazit

Mit einem Cross-Site Request Forgery Angriff kann man eine Menge Schaden anrichten. Richtig gefährlich wird es, wenn der eingeloggte und angegriffene Benutzer Adminrechte besitzt, denn in dem Fall können nicht nur seine Daten selbst, sondern auch die anderer in der Webanwendung eingetragener Benutzer manipuliert werden.


Weiterführende Links zum Thema