Anti CSRF Token Scanner

Copyright ┬ę Shutterstock / A_stockphoto

Was ist der Anti CSRF Token Scanner?

Bei dem Anti CSRF Token Scanner handelt es sich einen Scanner des OSG Performance Suite Security Features, dessen Ziel es ist auf CSRF-Anf├Ąlligkeiten hinzuweisen.

Beschreibung

Cross Site Request Forgery (CSRF) ist ein clientseitiger Angriff auf die Webanwendung, bei dem ein Angreifer Opfer dazu bringt, um eine b├Âswillige Webanforderung f├╝r sich selbst auszuf├╝hren. Der Angreifer kann einen Link an das Opfer senden, mit ein wenig Social Engineering wird er das Opfer dazu veranlassen, auf den Link zu klicken. Dann stellt das Opfer unbeabsichtigt eine Anfrage an den Webserver.

Beispiel: Ein Opfer surft auf der Website seiner Bank, auf der er gerade authentifiziert ist. Ein Angreifer sendet dem Opfer einen Link zu einer Seite und betr├╝gt das Opfer mithilfe von Social Engineering, um die Seite zu besuchen. Innerhalb dieser Seite gibt es folgende Zeile:

<img src=”http://victimsbank.com/transfermoney.php?to=attackeraccnt&amount=10000″ height=”10px” width=”10px”>

Nachdem das Opfer auf den Link geklickt und die Seite ge├Âffnet hat, wird ihm kein Bild, sondern ein fehlgeschlagenes Miniaturbild angezeigt. Die Seite hat jedoch bereits den Link im SRC-Attribut angefordert. Ohne dass das Opfer etwas davon wusste, wurde das Geld von seinem Konto auf das Konto des Angreifers ├╝berwiesen.

Tipp

├ťberpr├╝fen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.

L├Âsung

Anti-CSRF-Token, die verhindern, dass Angreifer Anfragen ├╝ber das Opfer ausgeben. Man sollte Anti-CSRF-Token als ein Paar kryptografisch verwandter Token, die einem Benutzer zur ├ťberpr├╝fung seiner Anforderungen ├╝bergeben werden, verwenden. Wenn ein Benutzer beispielsweise eine Anforderung an den Webserver zum Abfragen einer Seite mit einem Formular ausgibt, berechnet der Server zwei kryptografisch verwandte Token und sendet sie mit der Antwort an den Benutzer. Ein Token wird als verstecktes Feld im Formular gesendet und das andere wird im Set-Cookie-Header der Antwort gesendet.

Wenn der Benutzer das Formular zur├╝cksendet, werden diese beiden Token an den Server zur├╝ckgesendet, einer als GET / POST-Parameter (der an den Benutzer als ausgeblendetes Formularfeld gesendet wird) und der andere in einem Cookie. Der Server vergleicht dann diese beiden Token auf F├Ąlschung bzw. Missbildung. Wenn die Token gem├Ą├č dem kryptografischen Mechanismus ├╝bereinstimmen, ├╝berpr├╝ft der Server die Anforderung und f├╝hrt die entsprechende Funktion aus. Andernfalls gibt der Server einen Fehler zur├╝ck.

Ein weiterer Weg CSRF zu verhindern ist, indem Sie ein kryptografisches Token in einem Cookie setzen und es in einer Sitzungsvariablen speichern. Bei dieser Methode beh├Ąlt der Server eine Kopie des Anti-CSRF-Tokens mit einer Sitzungsvariablen bei und eine andere Kopie wird als verstecktes Formularfeld an den Benutzer gesendet. Wenn der Benutzer das Formular sendet, vergleicht der Server den Wert des ausgeblendeten Formularfelds mit dem Token in der Sitzungsvariablen und validiert die Anforderung.


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte