Diese Webseite verwendet Cookies, um die Nutzung der Webseite zu ermöglichen und zu verbessern.
Weitere Informationen finden Sie in unserer Datenschutzerklärung.     zum Impressum
       
Glossar-Buchstabe: X

XSRF/CSRF (Cross-Site Request Forgery)

XSRF/CSRF (Cross-Site Request Forgery) | Programmierung Berlin
Eine Angriffsmethode, bei der ein Angreifer eine legitime Anfrage im Namen eines ahnungslosen Benutzers ausführt, der bereits authentifiziert ist. CSRF-Angriffe zielen darauf ab, unautorisierte Aktionen auf einer Webseite durchzuführen, auf der der Benutzer derzeit angemeldet ist.
Programmierung

Haben Sie Interesse an individuell erstellten Software-Lösungen? Wir freuen uns auf Ihre Anfrage

Cross-Site Request Forgery, kürzer CSRF oder auch als XSRF bekannt, ist ein Angriffsvektor im Bereich der Websecurity, der besonders heimtückisch ist, da er das Vertrauen ausnutzt, das eine Website in den Browser des Benutzers setzt. Dieser Angriff resultiert daraus, dass eine Webanwendung nicht zwischen legitimen Anfragen und solchen unterscheidet, die durch einen Angreifer manipuliert wurden.

Bei einem typischen CSRF-Angriff erstellt der Angreifer eine präparierte Webseite oder verwendet eine andere Technik, um eine Anfrage an eine Ziel-Webseite zu senden, bei der das Opfer aktuell angemeldet ist. Diese Anfrage erfolgt ohne das Wissen und gegen den Willen des Opfers. Denn ist einmal ein Benutzer authentifiziert, gehen manche Webanwendungen davon aus, dass alle folgenden Anfragen sicher sind und im Namen des authentifizierten Benutzers erfolgen.

Die Anfragen können unterschiedliche Aktionen umfassen, wie zum Beispiel das Ändern von Kontoeinstellungen, das Durchführen von Transaktionen, das Posten von Nachrichten in einem Webforum usw. Das Fatale an CSRF ist, dass dabei die Authentifizierungstoken oder Cookies automatisch an die entsprechende Seite gesendet werden, sofern der Benutzer dort eingeloggt ist, was die Anfrage als legitim erscheinen lässt.

Um CSRF-Angriffe zu verhindern, setzen Entwickler verschiedene Sicherheitsmaßnahmen um. Eine gängige Maßnahme ist die Verwendung eines Anti-CSRF-Tokens, eines einzigartigen und geheimen Wertes, der im Rahmen einer Nutzersession vom Server generiert wird und für jede Anfrage, die eine Zustandsänderung nach sich zieht, überprüft wird. Andere Präventionsstrategien umfassen SameSite-Cookie-Attribute, welche die Browser anweisen, Cookies nur dann zu senden, wenn die Anfrage von der originären Seite ausgeht, oder die Verifizierung der Herkunft von Anfragen anhand von HTTP-Referrers.

Zusammenfassend ist es wichtig, dass sowohl Entwickler als auch Nutzer von Webanwendungen ein Bewusstsein für die Gefahren von CSRF haben, um die notwendigen Schritte zur Absicherung und zum Schutz vor solchen Angriffen zu ergreifen.

Weitere Glossar-Einträge | X

X.509XamarinXAML (eXtensible Application Markup Language)XcodeXenXInputXML (eXtensible Markup Language)XPath (XML Path Language)XQueryXSLT (eXtensible Stylesheet Language Transformations)XSS (Cross-Site Scripting)

0-9ABCDEFGHIJKLMNOPQRSTUVWXYZ

veröffentlicht am: 29.03.2024 03:28   |  bearbeitet am: 12.04.2024 16:23
Cookie-Richtlinie