CSRF (Cross-Site Request Forgery)
Ein Angriff, der authentifizierte Benutzer dazu zwingt, ungewollte Aktionen in einer Webanwendung auszuführen, indem sie dazu verleitet werden, auf bösartige Links zu klicken oder Formulare abzusenden.
Definition
CSRF nutzt das Vertrauen aus, das eine Webanwendung in den Browser des Benutzers hat. Wenn ein Benutzer bei einer Website angemeldet ist, werden seine Sitzungscookies automatisch mit jeder Anfrage gesendet. Angreifer erstellen bösartige Seiten, die Anfragen an die Zielseite stellen und Aktionen als authentifizierter Benutzer ausführen. Moderne Abwehrmaßnahmen umfassen CSRF-Tokens, SameSite-Cookies und Origin-Überprüfung.
Warum es wichtig ist
CSRF ist in den OWASP Top 10 gelistet und hat große Websites wie YouTube und Netflix betroffen. Ohne Schutz können Angreifer Passwörter ändern, Geld überweisen oder Benutzerdaten modifizieren. Moderne Frameworks (Rails, Django, Next.js) enthalten eingebauten CSRF-Schutz.
Beispiel
Ein Benutzer ist bei seiner Bank angemeldet. Er besucht eine bösartige Website mit einem versteckten Formular, das eine Geldüberweisungsanfrage an die Bank-API sendet. Da das Sitzungscookie automatisch gesendet wird, verarbeitet die Bank die Überweisung, als hätte der Benutzer sie initiiert.