CSRF

Cross-Site-Request-Forgery (afgekort CSRF of XSRF) is een aanvalsmethode die vooral wordt gebruikt bij internetfraude. Criminelen nemen een door de gebruiker geautoriseerde sessie over en kunnen zo kwaadwillende handelingen uitvoeren. Dit gebeurt via een HTTP-verzoek.

Voorbeeld

In ons voorbeeld voor CSRF verwijzen we naar online bankieren omdat dit het beste de mogelijke omvang van de aanvalstechniek illustreert. Een gebruiker logt in op zijn bankrekening, waar hij een specifiek overschrijfformulier heeft. Als u het formulier invult en op de bevestigingsknop drukt, wordt een specifiek HTTP-verzoek naar de server gestuurd en wordt de overdracht uitgevoerd. De aanvaller weet echter precies hoe het formulier en het HTTP-verzoek zijn gestructureerd en kan beide opnieuw creëren. De rekeninggegevens van de fraudeur en een door hem opgegeven bedrag worden dan als informatie ingevoerd.

De hacker kan dan een website opzetten (of een e-mail sturen) die interessant is voor de voorbeeldgebruiker. Daar wordt u gevraagd om op een link te klikken, wat onschadelijk lijkt, maar dit activeert het nep-HTTP-verzoek. Dit wordt vervolgens naar de bank gestuurd, die de door de hacker gevraagde actie uitvoert. De sessie is nog steeds actief en het verzoek is correct: er is geen reden voor de server om de actie niet te ondernemen. Het geld wordt gewoon overgemaakt. De gebruiker merkt dit pas als hij later zijn rekeningsaldo controleert.