Anti CSRF Token Scanner

Copyright © Shutterstock / A_stockphoto

Was ist der Anti CSRF Token Scanner?

Bei dem Anti CSRF Token Scanner handelt es sich einen Scanner des OSG Performance Suite Security Features, dessen Ziel es ist auf CSRF-AnfÀlligkeiten hinzuweisen.

Beschreibung

Cross Site Request Forgery (CSRF) ist ein clientseitiger Angriff auf die Webanwendung, bei dem ein Angreifer Opfer dazu bringt, um eine böswillige Webanforderung fĂŒr sich selbst auszufĂŒhren. Der Angreifer kann einen Link an das Opfer senden, mit ein wenig Social Engineering wird er das Opfer dazu veranlassen, auf den Link zu klicken. Dann stellt das Opfer unbeabsichtigt eine Anfrage an den Webserver.

Beispiel: Ein Opfer surft auf der Website seiner Bank, auf der er gerade authentifiziert ist. Ein Angreifer sendet dem Opfer einen Link zu einer Seite und betrĂŒgt das Opfer mithilfe von Social Engineering, um die Seite zu besuchen. Innerhalb dieser Seite gibt es folgende Zeile:

<img src=”http://victimsbank.com/transfermoney.php?to=attackeraccnt&amount=10000″ height=”10px” width=”10px”>

Nachdem das Opfer auf den Link geklickt und die Seite geöffnet hat, wird ihm kein Bild, sondern ein fehlgeschlagenes Miniaturbild angezeigt. Die Seite hat jedoch bereits den Link im SRC-Attribut angefordert. Ohne dass das Opfer etwas davon wusste, wurde das Geld von seinem Konto auf das Konto des Angreifers ĂŒberwiesen.

Tipp

ÜberprĂŒfen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.

Lösung

Anti-CSRF-Token, die verhindern, dass Angreifer Anfragen ĂŒber das Opfer ausgeben. Man sollte Anti-CSRF-Token als ein Paar kryptografisch verwandter Token, die einem Benutzer zur ÜberprĂŒfung seiner Anforderungen ĂŒbergeben werden, verwenden. Wenn ein Benutzer beispielsweise eine Anforderung an den Webserver zum Abfragen einer Seite mit einem Formular ausgibt, berechnet der Server zwei kryptografisch verwandte Token und sendet sie mit der Antwort an den Benutzer. Ein Token wird als verstecktes Feld im Formular gesendet und das andere wird im Set-Cookie-Header der Antwort gesendet.

Wenn der Benutzer das Formular zurĂŒcksendet, werden diese beiden Token an den Server zurĂŒckgesendet, einer als GET / POST-Parameter (der an den Benutzer als ausgeblendetes Formularfeld gesendet wird) und der andere in einem Cookie. Der Server vergleicht dann diese beiden Token auf FĂ€lschung bzw. Missbildung. Wenn die Token gemĂ€ĂŸ dem kryptografischen Mechanismus ĂŒbereinstimmen, ĂŒberprĂŒft der Server die Anforderung und fĂŒhrt die entsprechende Funktion aus. Andernfalls gibt der Server einen Fehler zurĂŒck.

Ein weiterer Weg CSRF zu verhindern ist, indem Sie ein kryptografisches Token in einem Cookie setzen und es in einer Sitzungsvariablen speichern. Bei dieser Methode behÀlt der Server eine Kopie des Anti-CSRF-Tokens mit einer Sitzungsvariablen bei und eine andere Kopie wird als verstecktes Formularfeld an den Benutzer gesendet. Wenn der Benutzer das Formular sendet, vergleicht der Server den Wert des ausgeblendeten Formularfelds mit dem Token in der Sitzungsvariablen und validiert die Anforderung.


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte