Cross-Site Request Forgery (CSRF)

Eintrag zuletzt aktualisiert am: 08.11.2023

Cross-Site Request Forgery ist eine Angriff gegen Web-Anwendungen

Gebräuchliche Abkürzungen: CSRF und XSRF

Cross-Site Request Forgery (CSRF) ist eine Art von Angriff, bei dem ein Angreifer eine bösartige Website, E-Mail oder eine andere Art von Social Engineering nutzt, um einen Benutzer dazu zu verleiten, ungewollte Aktionen auf einer anderen Website durchzuführen, auf der der Benutzer bereits angemeldet ist. Der Angriff basiert auf der Tatsache, dass viele Webanwendungen Aktionen aufgrund von Anfragen ausführen, die von bereits authentifizierten Benutzern stammen, ohne ausreichende Überprüfung der Identität oder Absicht dieser Anfragen.

Der Ablauf eines CSRF-Angriffs kann wie folgt aussehen:
1. Ein Angreifer erstellt eine gefälschte Webseite oder sendet eine manipulierte E-Mail mit einem bösartigen Link an ein Opfer.
2. Das Opfer besucht die gefälschte Webseite oder klickt auf den Link und wird ohne sein Wissen auf eine andere Webseite weitergeleitet, auf der es bereits angemeldet ist.
3. Die gefälschte Webseite führt im Hintergrund Anfragen an die Zielseite aus, die im Namen des Opfers durchgeführt werden, da es auf der Zielseite bereits authentifiziert ist. Diese Anfragen können unerwünschte Aktionen auslösen, wie das Ändern von Passwörtern, das Versenden von Geld oder das Löschen von Daten.

Da CSRF-Angriffe auf die Tatsache abzielen, dass der Benutzer bereits authentifiziert ist, sind sie insbesondere dann gefährlich, wenn der Benutzer auf verschiedenen Registerkarten im Browser gleichzeitig angemeldet ist. Um sich vor CSRF-Angriffen zu schützen, können Webanwendungen verschiedene Sicherheitsmaßnahmen implementieren, wie das Generieren von zufälligen CSRF-Token für jede Anfrage, das Prüfen der Herkunft von Anfragen und das Begrenzen der Gültigkeitsdauer von Sitzungen. Benutzer können sich auch schützen, indem sie in ihren Browsern sicherheitsbewusst sind und keine verdächtigen Links öffnen oder sich bei sensiblen Aktionen abmelden, wenn sie ihre Online-Konten nicht verwenden.
Sind die Inhalte hilfreich?