Absence of Anti-CSRF Tokens

Was ist Absence of Anti-CSRF Tokens?

Bei der Abwesenheit von Anti-CSRF Token (Absence of Anti-CSRF Tokens) handelt es sich um eine Sicherheitsanfälligkeit in einem HTML-Eingabeformular. Tritt diese Schwachstelle auf, so werden keine Anti-CSRF-Token im HTML-Formular gefunden.

Beschreibung

Eine Cross-Site-Anfragenfälschung ist ein Angriff, bei dem ein Opfer dazu gezwungen wird eine HTTP-Anfrage ohne deren Wissen oder Absicht an ein Ziel zu senden, um eine Aktion auszuführen. Der Ursache liegt eine Anwendungsfunktionalität zugrunde, bei der vorhersagbare URL- bzw. Formularaktionen auf wiederholbare Weise verwendet werden.

Diese Art von Angriff zielt darauf ab, dass CSRF das Vertrauen einer Website gegenüber einem Benutzer ausnutzt. Im Gegensatz dazu nutzt Cross-Site-Scrioting (XSS) das Vertrauen eines Benutzers in eine Website aus. Wie XSS sind CSRF-Angriffe nicht notwendigerweise standortübergreifend, dies kann aber der Fall sein. Cross-Site-Anfragenfälschungen wird auch als CSRF, XSRF, Ein-Klick-Angriff, Session-Riding, verwirrter Vertreter und Sea Surf bezeichnet.

CSFR-Angriffe sind in einer Reihe von Situationen wirksam, darunter:

  • Das Opfer hat eine aktive Sitzung auf der Zielseite.
  • Das Opfer wird über HTTP-Authentifizierung auf der Zielseite authentifiziert.
  • Das Opfer befindet sich in demselben Netzwerk wie die Zielseite.

CSFR wurde in erster Linie als Plattform für Aktion gegen eine Zielseite genutzt, indem die Privilegien des Opfers verwendet werden. Aber neue Technologien wurden entdeckt, die Informationen durch unerlaubten Zugriff, offenlegen. Das Risiko der Offenlegung von Information steigt dramatisch an, wenn die Zielseite für XSS anfällig ist, da XSS als Plattform für CSRF verwendet werden kann. Dies lässt zu, dass der Angriff innerhalb der Grenzen der Richtlinien mit demselben Ursprung ausgeführt wird.

Tipp

Überprüfen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.

Lösung

Durch die Verwendung einer überprüften Bibliothek oder eines Frameworks, kann verhindert werden, dass diese Schwächen zugelassen werden. Oder es werden Konstrukte bereitstellt, sodass diese Schwächen leichter vermieden werden können. So sollten beispielsweise Anti-CSRF-Pakete wie der OWASP CSRFGuard verwendet werden.

Es ist zudem sicherzustellen, dass die Applikationen frei von Cross-Site-Scripting-Problemen sind, da der CSRF-Schutz meist durch Angreifer-kontrollierte Skripte umgangen werden kann.

Zudem sollte eine eindeutigen Nonce für jedes Formular generiert werden. Diese wird in das Formular einlegt und nach dessen Erhalt überprüft. Es muss sichergestellt werden, dass die Nonce nicht vorhersagbar ist. Dies kann jedoch mit XSS umgangen werden.

Auf diese Weise können besonders gefährliche Vorgänge identifiziert werden. Wenn der Benutzer einen gefährlichen Vorgang ausführt, wird eine separate Bestätigungsaufforderung versendet, um sicherzustellen, dass der Benutzer diesen Vorgang ausführen möchte.

Verwenden der ESAPI-Sitzungsmanagement-Kontrolle. Diese beinhaltet Komponenten für CSRF. Zusätzlich sollte für Anfragen keine GET-Methode verwendet werden, die eine Zustandsänderung auslösen.

Auch der HTTP-Referer-Header sollte überprüft werden, um festzustellen, ob die Anfragen von einer erwarteten Seite stammen. Dies könnte die legitime Funktionalität beeinträchtigen, da Benutzer oder Proxys das Senden der Referenz aus Datenschutzgründen möglicherweise deaktiviert haben.

Datenbanklink zur Schwachstelle

https://cwe.mitre.org/data/definitions/352.html

http://projects.webappsec.org/Cross-Site-Request-Forgery


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte