Absence of Anti-CSRF Tokens

Absence of Anti CSRF Tokens

Copyright © Shutterstock/Joyseulay

Was ist Absence of Anti-CSRF Tokens?

Bei der Abwesenheit von Anti-CSRF Token (Absence of Anti-CSRF Tokens) handelt es sich um eine SicherheitsanfÀlligkeit in einem HTML-Eingabeformular. Tritt diese Schwachstelle auf, so werden keine Anti-CSRF-Token im HTML-Formular gefunden.

Beschreibung

Eine Cross-Site-AnfragenfĂ€lschung ist ein Angriff, bei dem ein Opfer dazu gezwungen wird eine HTTP-Anfrage ohne deren Wissen oder Absicht an ein Ziel zu senden, um eine Aktion auszufĂŒhren. Der Ursache liegt eine AnwendungsfunktionalitĂ€t zugrunde, bei der vorhersagbare URL- bzw. Formularaktionen auf wiederholbare Weise verwendet werden.

Diese Art von Angriff zielt darauf ab, dass CSRF das Vertrauen einer Website gegenĂŒber einem Benutzer ausnutzt. Im Gegensatz dazu nutzt Cross-Site-Scrioting (XSS) das Vertrauen eines Benutzers in eine Website aus. Wie XSS sind CSRF-Angriffe nicht notwendigerweise standortĂŒbergreifend, dies kann aber der Fall sein. Cross-Site-AnfragenfĂ€lschungen wird auch als CSRF, XSRF, Ein-Klick-Angriff, Session-Riding, verwirrter Vertreter und Sea Surf bezeichnet.

CSFR-Angriffe sind in einer Reihe von Situationen wirksam, darunter:

  • Das Opfer hat eine aktive Sitzung auf der Zielseite.
  • Das Opfer wird ĂŒber HTTP-Authentifizierung auf der Zielseite authentifiziert.
  • Das Opfer befindet sich in demselben Netzwerk wie die Zielseite.

CSFR wurde in erster Linie als Plattform fĂŒr Aktion gegen eine Zielseite genutzt, indem die Privilegien des Opfers verwendet werden. Aber neue Technologien wurden entdeckt, die Informationen durch unerlaubten Zugriff, offenlegen. Das Risiko der Offenlegung von Information steigt dramatisch an, wenn die Zielseite fĂŒr XSS anfĂ€llig ist, da XSS als Plattform fĂŒr CSRF verwendet werden kann. Dies lĂ€sst zu, dass der Angriff innerhalb der Grenzen der Richtlinien mit demselben Ursprung ausgefĂŒhrt wird.

Tipp

ÜberprĂŒfen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.

Lösung

Durch die Verwendung einer ĂŒberprĂŒften Bibliothek oder eines Frameworks, kann verhindert werden, dass diese SchwĂ€chen zugelassen werden. Oder es werden Konstrukte bereitstellt, sodass diese SchwĂ€chen leichter vermieden werden können. So sollten beispielsweise Anti-CSRF-Pakete wie der OWASP CSRFGuard verwendet werden.

Hinweis

Es ist zudem sicherzustellen, dass die Applikationen frei von Cross-Site-Scripting-Problemen sind, da der CSRF-Schutz meist durch Angreifer-kontrollierte Skripte umgangen werden kann.

Zudem sollte eine eindeutigen Nonce fĂŒr jedes Formular generiert werden. Diese wird in das Formular einlegt und nach dessen Erhalt ĂŒberprĂŒft. Es muss sichergestellt werden, dass die Nonce nicht vorhersagbar ist. Dies kann jedoch mit XSS umgangen werden.

Auf diese Weise können besonders gefĂ€hrliche VorgĂ€nge identifiziert werden. Wenn der Benutzer einen gefĂ€hrlichen Vorgang ausfĂŒhrt, wird eine separate BestĂ€tigungsaufforderung versendet, um sicherzustellen, dass der Benutzer diesen Vorgang ausfĂŒhren möchte.

Verwenden der ESAPI-Sitzungsmanagement-Kontrolle. Diese beinhaltet Komponenten fĂŒr CSRF. ZusĂ€tzlich sollte fĂŒr Anfragen keine GET-Methode verwendet werden, die eine ZustandsĂ€nderung auslösen.

Auch der HTTP-Referer-Header sollte ĂŒberprĂŒft werden, um festzustellen, ob die Anfragen von einer erwarteten Seite stammen. Dies könnte die legitime FunktionalitĂ€t beeintrĂ€chtigen, da Benutzer oder Proxys das Senden der Referenz aus DatenschutzgrĂŒnden möglicherweise deaktiviert haben.

Datenbanklink zur Schwachstelle

https://cwe.mitre.org/data/definitions/352.html

http://projects.webappsec.org/Cross-Site-Request-Forgery

 


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte