Cross-Site Request Forgery (CSRF)

Cross-Site Request Forgery (CSRF) ist eine Art von Angriff, bei dem ein Angreifer das Opfer dazu verleitet, ungewollte Aktionen in einer Webanwendung auszuführen, in der es bereits angemeldet ist. Der Angriff nutzt die Authentifizierungsinformationen des Opfers aus, um bösartige Aktionen im Namen des Opfers durchzuführen, ohne dass das Opfer davon weiss.

Wie funktioniert Cross-Site Request Forgery?

Ein CSRF-Angriff erfolgt in der Regel in zwei Schritten:

  1. Der Angreifer erstellt eine bösartige Website oder E-Mail, die ein speziell präpariertes Formular oder einen Link enthält, der eine Aktion auf der Zielwebsite auslöst. Diese Aktion könnte das Ändern von Einstellungen, das Übertragen von Geldern oder das Löschen von Daten sein.
  2. Das Opfer, das in die Falle des Angreifers tappt, besucht die bösartige Website oder klickt auf den manipulierten Link. Dadurch wird ein Request an die Zielwebsite gesendet, der die ungewollte Aktion ausführt. Da das Opfer bereits in der Zielwebanwendung angemeldet ist, werden die Authentifizierungsinformationen automatisch mitsamt dem Request übertragen, und die Aktion wird im Namen des Opfers ausgeführt.

Wie kann man sich vor Cross-Site Request Forgery schützen?

Um sich vor CSRF-Angriffen zu schützen, können verschiedene Sicherheitsmassnahmen ergriffen werden:

  1. Verwendung von CSRF-Token: Die Webanwendung kann CSRF-Token generieren und diese in jedem Formular oder jedem Link einbetten. Beim Senden des Requests muss das CSRF-Token überprüft werden, um sicherzustellen, dass der Request vom richtigen Benutzer stammt und nicht von einem Angreifer.
  2. Begrenzung der Gültigkeit von Anfragen: Die Webanwendung kann Mechanismen implementieren, um sicherzustellen, dass bestimmte Aktionen nur von Seiten ausgeführt werden können, die von derselben Domain stammen wie die Zielwebanwendung. Dadurch wird verhindert, dass bösartige Anfragen von anderen Domains ausgeführt werden können.
  3. Verwendung von Same-Site-Cookies: Same-Site-Cookies können so konfiguriert werden, dass sie nur für Anfragen von derselben Website verwendet werden. Dadurch wird das Risiko von CSRF-Angriffen verringert, da Cookies nicht mehr automatisch an bösartige Seiten gesendet werden.

Indem diese Sicherheitsmaßnahmen implementiert werden, können Webanwendungen effektiv vor CSRF-Angriffen geschützt werden, wodurch die Integrität und Sicherheit der Anwendung und der Benutzerdaten gewährleistet werden.

Wir informieren Sie

-Unsere Whitepaper-

Executive View: KuppingerCole - Airlock Secure Acces Hub für Applications und APIs

Dieser KuppingerCole Executive View Bericht gibt einen architektonischen und funktionalen Überblick über den Airlock Secure Access Hub, eine integrierte Plattform für sicheres Access Management - ein multicloud-natives Sicherheitstool für Webanwendungen, APIs und darüber hinaus.

Jetzt Formular ausfüllen und Executive View erhalten!

Whitepaper: Sicherheit für cloudnative Anwendungen

Wie es Unternehmen gelingt, die Sicherheit von Web-Applikationen und APIs in Kubernetes zu gewährleisten lesen Sie hier im Whitepaper "Sicherheit für cloudnative Anwendungen“, das in Zusammenarbeit zwischen heise und Airlock entstanden ist.

Whitepaper anfordern

Whitepaper: Zero Trust ist eine Reise

Die kontinuierliche digitale Transformation der Welt schreitet voran und wirkt sich tiefgreifend auf das Privat- und Berufsleben in einer Weise aus, die vor wenigen Jahren noch schwer vorstellbar war.

Dieses Whitepaper behandelt die Effekte der kontinuierlichen Digitalisierung und ihre Auswirkungen.

Kostenlos anfordern

Auf zu DevSecOps

Erfahren Sie in diesem Whitepaper die wichtigsten Erkenntnisse, wie Sie DevSecOps erfolgreich und effizient umsetzen können, welche Sicherheitskomponenten es dafür braucht und welche Vorteile eine Microgateway Architektur bringt.

Kostenlos anfordern

Airlock 2FA - Starke Authentifizierung. Einfach.

Doppelte Sicherheit – das bietet die Zwei-Faktor-Authentifizierung im Bereich IT-Security.

Erfahren Sie in unserem Whitepaper mehr über starke Authentifizierung und die Möglichkeiten, die Airlock bietet.

Kostenlos herunterladen

Weitere Whitepaper

Zu diesen und weiteren Themen stellen wir Ihnen kostenlos Whitepaper zur Verfügung:

  • erfolgreiche IAM Projekte
  • Compliance
  • Datenschutz (DSGVO)
  • Einführung von PSD2
  • PCI DSS Anforderungen
Kostenlos anfordern