Anti CSRF Token Scanner
Was ist der Anti CSRF Token Scanner?
Bei dem Anti CSRF Token Scanner handelt es sich einen Scanner des OSG Performance Suite Security Features, dessen Ziel es ist auf CSRF-Anfälligkeiten hinzuweisen.
Beschreibung
Cross Site Request Forgery (CSRF) ist ein clientseitiger Angriff auf die Webanwendung, bei dem ein Angreifer Opfer dazu bringt, um eine böswillige Webanforderung für sich selbst auszuführen. Der Angreifer kann einen Link an das Opfer senden, mit ein wenig Social Engineering wird er das Opfer dazu veranlassen, auf den Link zu klicken. Dann stellt das Opfer unbeabsichtigt eine Anfrage an den Webserver.
Beispiel
Ein Opfer surft auf der Website seiner Bank, auf der er gerade authentifiziert ist. Ein Angreifer sendet dem Opfer einen Link zu einer Seite und betrügt das Opfer mithilfe von Social Engineering, um die Seite zu besuchen. Innerhalb dieser Seite gibt es folgende Zeile:
<img src=”http://victimsbank.com/transfermoney.php?to=attackeraccnt&amount=10000″ height=”10px” width=”10px”>
Nachdem das Opfer auf den Link geklickt und die Seite geöffnet hat, wird ihm kein Bild, sondern ein fehlgeschlagenes Miniaturbild angezeigt. Die Seite hat jedoch bereits den Link im SRC-Attribut angefordert. Ohne dass das Opfer etwas davon wusste, wurde das Geld von seinem Konto auf das Konto des Angreifers überwiesen.
Tipp
Überprüfen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.
Lösung
Anti-CSRF-Token, die verhindern, dass Angreifer Anfragen über das Opfer ausgeben. Man sollte Anti-CSRF-Token als ein Paar kryptografisch verwandter Token, die einem Benutzer zur Überprüfung seiner Anforderungen übergeben werden, verwenden.
Wenn ein Benutzer beispielsweise eine Anforderung an den Webserver zum Abfragen einer Seite mit einem Formular ausgibt, berechnet der Server zwei kryptografisch verwandte Token und sendet sie mit der Antwort an den Benutzer. Ein Token wird als verstecktes Feld im Formular gesendet und das andere wird im Set-Cookie-Header der Antwort gesendet.
Wenn der Benutzer das Formular zurücksendet, werden diese beiden Token an den Server zurückgesendet, einer als GET / POST-Parameter (der an den Benutzer als ausgeblendetes Formularfeld gesendet wird) und der andere in einem Cookie.
Der Server vergleicht dann diese beiden Token auf Fälschung bzw. Missbildung. Wenn die Token gemäß dem kryptografischen Mechanismus übereinstimmen, überprüft der Server die Anforderung und führt die entsprechende Funktion aus. Andernfalls gibt der Server einen Fehler zurück.
Ein weiterer Weg CSRF zu verhindern ist, indem Sie ein kryptografisches Token in einem Cookie setzen und es in einer Sitzungsvariablen speichern. Bei dieser Methode behält der Server eine Kopie des Anti-CSRF-Tokens mit einer Sitzungsvariablen bei und eine andere Kopie wird als verstecktes Formularfeld an den Benutzer gesendet. Wenn der Benutzer das Formular sendet, vergleicht der Server den Wert des ausgeblendeten Formularfelds mit dem Token in der Sitzungsvariablen und validiert die Anforderung.
Sie haben noch Fragen?