Was sind CSRF-Angriffe und wie können Sie sie verhindern?

Cross-Site Request Forgery (CSRF) ist eine der ältesten Methoden, um die Schwachstellen einer Website auszunutzen. Es zielt auf serverseitige Web-Switches ab, die normalerweise Authentifizierungen wie die Anmeldung erfordern. Während eines CSRF-Angriffs versucht ein Angreifer, sein Opfer zu zwingen, in seinem Namen eine nicht autorisierte, böswillige Webanfrage zu stellen.

Schwache oder schlechte Website-Sicherheitspraktiken und Unachtsamkeit auf dem Weg des Benutzers sind einige der häufigsten Ursachen für einen erfolgreichen CSRF-Angriff.

Schauen wir uns an, was ein CSRF-Angriff ist und wie Sie sich als Entwickler oder Benutzer davor schützen können.

Wie wirken sich CSRF-Angriffe auf Sie aus?

Ein CSRF ist ein Angriff, der verwendet wird, um nicht autorisierte Anfragen während Webaktionen zu implementieren, die eine Benutzeranmeldung oder -authentifizierung erfordern. CSRF-Angriffe können Sitzungs-IDs, Cookies sowie andere serverbasierte Schwachstellen ausnutzen, um die Anmeldeinformationen eines Benutzers zu stehlen.

Beispielsweise verhindert die Aktivierung von Anti-CSRF-Verfahren domänenübergreifende schädliche Interaktionen.

Sobald diese Barriere durchbrochen ist, kann ein Angreifer die Sitzungs-ID des Benutzers über die vom Browser des Benutzers erstellten Cookies schnell ausnutzen und ein Skript-Tag in die anfällige Website einbetten.

Durch Manipulation einer ID kann der Angreifer auch Besucher auf eine andere Webseite umleiten oder Social-Engineering-Methoden wie E-Mail zum Versenden von Links ausnutzen , um das Opfer zum Herunterladen von Schadsoftware zu ermutigen.

Sobald das Opfer solche Aktionen ausführt, sendet es eine HTTP-Anfrage an die Serviceseite des Benutzers und autorisiert die Anfrageaktion zugunsten des Angreifers. Das kann für einen ahnungslosen Benutzer verheerend sein.

Ein erfolgreicher CSRF-Angriff kann dazu führen, dass autorisierte Benutzer ihre Zugangsdaten für einen Angreifer verlieren, insbesondere bei serverbasierten Aktionen wie Kennwort- oder Benutzernamenänderungsanforderungen. In schlimmeren Szenarien übernimmt der Angreifer die gesamte Sitzung und handelt im Namen der Benutzer.

CSRF wurde verwendet, um über das Internet getätigte Geldtransaktionen zu kapern sowie Benutzernamen und Passwörter zu ändern, was dazu führt, dass Benutzer den Zugriff auf den betroffenen Dienst verlieren.

Wie Angreifer Ihre Sitzungen mit CSRF kapern: Beispiele

Die Hauptziele für CSRF-Angriffe sind Webaktionen, die die Authentifizierung eines Benutzers beinhalten. Um erfolgreich zu sein, braucht es unbeabsichtigte Handlungen des Opfers.

Während eines CSRF-Angriffs sind GET-, DELETE- und PUT-Aktionen sowie anfällige POST-Anfragen die Hauptziele eines Angreifers.

Schauen wir uns die Bedeutung dieser Begriffe an:

• GET: Eine Anfrage zum Sammeln eines Ergebnisses aus der Datenbank; zum Beispiel die Google-Suche.
• POST: Normalerweise zum Senden von Anfragen über Webformulare. Eine POST-Anfrage ist während der Registrierung oder Anmeldung eines Benutzers üblich, auch bekannt als Authentifizierung.
• DELETE: Um eine Ressource aus der Datenbank zu entfernen. Sie tun dies immer dann, wenn Sie Ihr Konto von einem bestimmten Webdienst löschen.
• PUT: Eine PUT-Anforderung modifiziert oder aktualisiert eine vorhandene Ressource. Ein Beispiel ist die Änderung Ihres Facebook-Namens .

In der Praxis verwenden Angreifer Session-Hijacking, um einen CSRF-Angriff zu sichern. Bei dieser Kombination kann der Angreifer mit einem Hijack die IP-Adresse des Opfers ändern.

Die Änderung der IP-Adresse meldet das Opfer dann auf einer neuen Website an, auf der der Angreifer einen betrügerischen Link eingefügt hat, der ein repliziertes Formular oder eine geänderte Serveranfrage sendet, die es über CSRF erstellt hat.

Ein ahnungsloser Benutzer denkt dann, dass die Weiterleitung vom Dienstanbieter stammt und klickt auf den Link auf der Webseite des Angreifers. Sobald sie dies getan haben, senden Hacker ohne ihr Wissen ein Formular beim Laden der Seite.

Beispiel für einen GET-Request-CSRF-Angriff

Stellen Sie sich vor, Sie versuchen, eine Online-Zahlung über eine ungesicherte E-Commerce-Plattform zu tätigen. Die Plattformbesitzer verwenden die GET-Anfrage, um Ihre Transaktion zu verarbeiten. Diese GET-Abfrage könnte so aussehen:

https://websiteurl/pay?amount=$10&company=[company ABC's account]

Ein Hijacker kann Ihre Transaktion leicht stehlen, indem er die Parameter der GET-Anfrage ändert. Um dies zu tun, müssen sie lediglich Ihren Namen gegen ihren austauschen und, schlimmer noch, den Betrag ändern, den Sie zahlen möchten. Sie optimieren dann die ursprüngliche Abfrage in etwa wie folgt:

https://websiteurl/pay?amount=$20000&company=[attacker's account]

Sobald Sie auf einen Link zu dieser modifizierten GET-Anfrage klicken, führen Sie am Ende eine unbeabsichtigte Übertragung auf das Konto des Angreifers durch.

Die Abwicklung über GET-Anfragen ist eine schlechte Praxis und macht Aktivitäten anfällig für Angriffe.

Beispiel für einen POST-Request-CSRF-Angriff

Viele Entwickler glauben jedoch, dass die Verwendung von POST-Anforderungen für Webtransaktionen sicherer ist. Das stimmt zwar, leider ist eine POST-Anfrage auch anfällig für CSRF-Angriffe.

Um eine POST-Anfrage erfolgreich zu kapern, benötigt ein Angreifer lediglich Ihre aktuelle Sitzungs-ID, einige replizierte unsichtbare Formulare und manchmal ein wenig Social Engineering.

Ein POST-Anfrageformular könnte beispielsweise so aussehen:

Ein Angreifer kann jedoch Ihre Anmeldeinformationen austauschen, indem er eine neue Seite erstellt und das obige Formular in dieses ändert:

In dem manipulierten Formular setzt der Angreifer den Wert des Betragsfeldes auf "30000", tauscht die Kontonummer des Empfängers mit seiner aus, sendet das Formular beim Laden der Seite ab und verbirgt die Formularfelder auch vor dem Benutzer.

Sobald sie diese aktuelle Sitzung kapern, leitet Ihre Transaktionsseite eine Weiterleitung zur Seite des Angreifers ein, die Sie auffordert, auf einen Link zu klicken, von dem sie wissen, dass Sie ihn wahrscheinlich besuchen werden.

Wenn Sie darauf klicken, wird die Übermittlung des replizierten Formulars geladen, das Ihr Geld auf das Konto des Angreifers überweist. Das bedeutet, dass Sie keine Schaltflächen wie "Senden" anklicken müssen, damit die Transaktion ausgeführt wird, da JavaScript dies beim Laden der nächsten Webseite automatisch tut.

Alternativ kann ein Angreifer auch eine HTML-eingebettete E-Mail verfassen, die Sie auffordert, auf einen Link zu klicken, um dieselbe Formularübermittlung mit Seitenladevorgang durchzuführen.

Eine andere Aktion, die für einen CSRF-Angriff anfällig ist, ist die Änderung des Benutzernamens oder des Passworts, ein Beispiel für eine PUT-Anfrage. Ein Angreifer repliziert Ihr Anfrageformular und ersetzt Ihre E-Mail-Adresse durch seine.

Dann stehlen sie Ihre Sitzung und leiten Sie entweder auf eine Seite weiter oder senden Ihnen eine E-Mail, die Sie auffordert, auf einen ansprechenden Link zu klicken.

Das sendet dann ein manipuliertes Formular, das den Link zum Zurücksetzen des Passworts an die E-Mail-Adresse des Hackers statt an Ihre sendet. Auf diese Weise ändert der Hacker Ihr Passwort und meldet Sie von Ihrem Konto ab.

So verhindern Sie als Entwickler CSRF-Angriffe

Eine der besten Methoden, um eine CSRF zu verhindern, besteht darin, häufig wechselnde Token zu verwenden, anstatt sich auf Sitzungscookies zu verlassen, um eine Zustandsänderung auf dem Server auszuführen.

Verwandte: Kostenlose Anleitungen zum Verständnis der digitalen Sicherheit und zum Schutz Ihrer Privatsphäre

Viele moderne Backend-Frameworks bieten Sicherheit gegen CSRF. Wenn Sie also selbst die technischen Details des Aufstockens gegen CSRF vermeiden möchten, können Sie dies einfach angehen, indem Sie serverseitige Frameworks verwenden, die mit integrierten Anti-CSRF-Token ausgestattet sind.

Wenn Sie ein Anti-CSRF-Token verwenden, generieren serverbasierte Anforderungen zufällige Zeichenfolgen anstelle der eher statischen anfälligen Sitzungscookies. Auf diese Weise können Sie Ihre Sitzung davor schützen, vom Entführer erraten zu werden.

Die Implementierung eines Zwei-Faktor-Authentifizierungssystems (2FA) zum Ausführen von Transaktionen in Ihrer Web-App verringert auch die Wahrscheinlichkeit einer CSRF.

Es ist möglich, eine CSRF über Cross-Site-Scripting (XSS) zu initiieren, bei dem Skripte in Benutzerfelder wie Kommentarformulare eingefügt werden. Um dies zu verhindern, empfiehlt es sich, die automatische HTML-Escape-Funktion in allen Benutzerformularfeldern auf Ihrer Website zu aktivieren. Diese Aktion verhindert, dass Formularfelder HTML-Elemente interpretieren.

So verhindern Sie CSRF-Angriffe als Benutzer

Als Benutzer eines Webdienstes, der eine Authentifizierung beinhaltet, tragen Sie dazu bei, Angreifer daran zu hindern, Ihre Anmeldeinformationen und Sitzungen auch über CSRF zu stehlen.

Stellen Sie sicher, dass Sie bei Aktivitäten mit Geldtransfers vertrauenswürdige Webdienste verwenden.

Verwenden Sie darüber hinaus  sichere Webbrowser , die Benutzer vor Sitzungsrisiken schützen, sowie sichere Suchmaschinen, die vor Datenlecks bei der Suche schützen.

Verwandte:  Beste private Suchmaschinen, die Ihre Daten respektieren

Als Benutzer können Sie sich auch auf Authentifikatoren von Drittanbietern wie Google Authenticator oder dessen Alternativen verlassen, um Ihre Identität über das Web zu überprüfen.

Auch wenn Sie sich vielleicht hilflos fühlen, einen Angreifer daran zu hindern, Ihre Sitzung zu kapern, können Sie dies dennoch verhindern, indem Sie sicherstellen, dass Ihr Browser keine Informationen wie Passwörter und andere Anmeldedaten speichert.

Verbessern Sie Ihre Web-Sicherheit

Entwickler müssen Web-Apps während der Entwicklung und Bereitstellung regelmäßig auf Sicherheitsverletzungen testen.

Es ist jedoch üblich, andere Schwachstellen einzuführen, während versucht wird, andere zu verhindern. Achten Sie also darauf, dass Sie beim Blockieren einer CSRF keine anderen Sicherheitsparameter verletzt haben.