+49 (0) 7245 919 581 info@eunetic.com
[DE]
Login
  1. Home
  2. Cyber Security - Begriffe und Definitionen Wissensdatenbank
  3. 2. Cyber-Bedrohungen und Angriffsvektoren
  4. Was ist Cross-Site Request Forgery (CSRF)? - Eine Einführung
Cyber Security - Begriffe und Definitionen
Wissensdatenbank

Was ist Cross-Site Request Forgery (CSRF)? - Eine Einführung

  • Cross-Site Request Forgery (CSRF) ist eine Art von Sicherheitsangriff auf Webanwendungen, bei dem ein Angreifer unerlaubte Aktionen im Namen eines authentifizierten Benutzers ausführt.
  • Diese Angriffe nutzen die Authentifizierungs-Cookies des Benutzers, um unbefugte Anfragen an eine Webanwendung zu senden, ohne dass der Benutzer davon weiß oder seine Zustimmung gegeben hat.

Cross-Site Request Forgery (CSRF)


Detaillierte Beschreibung

Der Begriff Cross-Site Request Forgery (CSRF) bezeichnet eine Art von Angriff auf Webanwendungen, bei dem ein Angreifer unbefugte Aktionen im Namen eines authentifizierten Benutzers ausführt.

Ein CSRF-Angriff nutzt die Tatsache, dass ein Webbrowser automatisch Authentifizierungsinformationen wie Cookies oder JWTs (JSON Web Tokens) mitsendet, wenn Anfragen an eine Website gestellt werden, bei der der Benutzer derzeit angemeldet ist.

Ein typisches Szenario für einen CSRF-Angriff könnte folgendermaßen aussehen:

Ein Benutzer ist auf einer Bankwebsite angemeldet und besucht gleichzeitig eine andere, bösartige Website. Diese bösartige Website könnte ein unsichtbares Formular enthalten, das automatisch eine Überweisung auf das Konto des Angreifers ausführt, sobald die Seite geladen wird.

Da der Benutzer bei der Bank angemeldet ist, wird die Anfrage als legitim behandelt.


Beispiele für CSRF-Angriffe

  • Banktransaktionen: Ein Angreifer könnte ein Formular auf einer manipulierten Website platzieren, das, wenn von einem angemeldeten Bankkunden besucht, eine Überweisung ausführt.
  • Soziale Medien: Ein CSRF-Angriff könnte dazu verwendet werden, unbefugt Statusaktualisierungen zu posten oder Freundschaftsanfragen zu senden.


Sicherheitsempfehlungen und Best Practices


Um sich gegen CSRF-Angriffe zu schützen, können Entwickler und Website-Betreiber folgende Maßnahmen ergreifen:

  • CSRF-Token: Ein CSRF-Token ist ein einzigartiger, geheimer und unvorhersehbarer Wert, der vom Server generiert und vom Client bei jeder kritischen Anfrage zurückgesendet werden muss. Dies stellt sicher, dass die Anfrage vom tatsächlichen Benutzer und nicht von einer bösartigen Website stammt.
  • SameSite-Cookie-Attribut: Moderne Browser unterstützen das SameSite-Attribut, das verhindern kann, dass Cookies bei Anfragen von anderen Websites gesendet werden. Setzen Sie das Attribut auf 'Strict' oder 'Lax', um CSRF zu mindern.
  • Prüfung des HTTP-Referrers: Server können den Referrer-Header in HTTP-Anfragen überprüfen, um sicherzustellen, dass die Anfrage von einer autorisierten Quelle stammt.

Quellenangaben


Für weiterführende Informationen und detaillierte technische Erklärungen zu CSRF und dessen Abwehrmaßnahmen können folgende Quellen konsultiert werden:

Diese Ressourcen bieten umfassende Informationen und Leitlinien, die sowohl für Entwickler als auch für Sicherheitsexperten von Nutzen sind, um Webanwendungen sicherer zu gestalten und zu schützen.


Häufig gestellte Fragen

Was ist Cross-Site Request Forgery (CSRF)?

Cross-Site Request Forgery (CSRF) ist eine Art von Sicherheitsangriff auf Webanwendungen, bei dem ein Angreifer unbefugte Befehle im Namen eines authentifizierten Benutzers ausführt. Dies geschieht, indem der Benutzer dazu gebracht wird, eine Aktion auf einer anderen Webseite auszuführen, während er gleichzeitig auf einer anderen, vertrauenswürdigen Seite angemeldet ist.

Wie funktioniert ein CSRF-Angriff?

Ein CSRF-Angriff nutzt die Authentifizierungs-Cookies des Benutzers, die automatisch bei jeder Anfrage an eine Webseite gesendet werden. Der Angreifer erstellt eine bösartige Webseite oder E-Mail, die eine Anfrage an die Zielwebseite sendet. Wenn der Benutzer bereits auf der Zielwebseite angemeldet ist, wird die Anfrage als legitime Aktion des Benutzers behandelt.

Wie kann man sich vor CSRF schützen?

Zum Schutz vor CSRF können Entwickler Maßnahmen wie die Verwendung von Anti-CSRF-Token implementieren, die sicherstellen, dass jede Anfrage vom Server generiert wurde. Zudem ist es wichtig, die 'SameSite'-Cookie-Attribut in Webanwendungen zu nutzen, um zu verhindern, dass Cookies bei Anfragen von Drittanbieterseiten gesendet werden.

Sind alle Webanwendungen anfällig für CSRF?

Nicht alle, aber viele Webanwendungen sind potenziell anfällig für CSRF, besonders wenn sie keine spezifischen Schutzmaßnahmen wie Anti-CSRF-Token oder angemessene Cookie-Attribute implementieren. Anwendungen, die GET-Anfragen für die Ausführung von Aktionen verwenden, können besonders anfällig sein.

Was ist der Unterschied zwischen CSRF und XSS (Cross-Site Scripting)?

CSRF und XSS sind beides Sicherheitslücken, aber sie funktionieren unterschiedlich. CSRF manipuliert den Benutzer dazu, ungewollte Aktionen auf einer Webseite auszuführen, bei der er bereits angemeldet ist. XSS hingegen involviert das Einschleusen von schädlichem Code in Webseiten, um Daten zu stehlen oder das Verhalten der Webseite zu verändern. Beide erfordern unterschiedliche Schutzmaßnahmen.

Empfanden Sie diesen Artikel als hilfreich?

Nein Ja