Pengertian CSRF
CSRF (Cross-site Request Forgery) merupakan suatu teknik hacking untuk mendapatkan atau bahkan menguasai suatu account dengan cara menyerang web yang dieksekusi atas wewenang korban, tanpa dikehendakinya.
CSRF merupakan teknik pemalsuan permintaan yang berasal dari halaman web atau situs yang berbeda, saat halaman situs dieksekusi oleh korban maka akan muncul account baru yang tanpa dikehendaki si admin.
Celah keamanan banyak di temukan di berbagai CMS, contohnya CMS VCalendar.
Penjelasan
CSRF merupakan pemalsuan request yang berasal dari site yang berbeda, tetapi dari sisi client tidak mengubah alamat IP karena memang dieksekusi oleh korban. Serangan CSRF dapat ditunjukkan seperti serangan pada diagram dibawah.
Penyerang mengirimkan link atau halaman berisi request tersembunyi pada pengguna (korban), yang dieksekusi oleh penggunan tersebut ke website target. Dalam menyusun serangan, penyusun akan mempelajari terlebih dahulu kelemahan-kelemahan website target yang dapat dimanfaatkan dengan teknik CSRF.
Website yang menyimpan cookies sehingga mengizinkan pengguna untuk datang kembali tanpa mengetikkan username dan password, akan menarik perhatian menyerang untuk lebih mengekplorasi fitur-fitur yang terdapat pada website setelah login.
Berhati-hatilah karena walaupun anda membuat website yan cukup strict dalam masalah login, website tersebut belum tentu aman 100% dari serangan CSRF. Bagaimana jika website tersebut memiliki fitur message/mailbox seperti yang dimiliki berbagai website jejaring sosial dan webmail. E-mail atau message berbahaya dikirimkan langsung ke mailbox anda.
Penyerang juga akan mempelajari apakah website melakukan pengecekan header atau token berisi id unik. jika pengamanan ini tidak dilakukan dan hanya berdasarkan session/cookies saat login, maka serangan CSRF dapat dilakukan tanpa masalah berarti.
Eksplorasi berikutnya adalah melihat fitur apa saja yang disediakan website, mungkin berbentuk form atau button/link yan dapat di submit. Penyerang akan melihat fungsinya, aksi-aksi sensitif seperti delete account, change password, mengubah preferensi, dan sebagainya, akan menarik perhatian penyerang untuk dimanfaatkan bagi kepentingan bagi penyerang.
Jika terdapat parameter yang berpotensi digunakan dalam serangan CSRF, maka penyerang akan menentukan nilai parameter dalam penyerangannya. Jika terdapat hidden input berisi token rahasia, penyerang akan berusaha menemukan algoritma dan menemukan isi field tersebut. Setelah serangan siap dilancarkan, penyerang akan berusaha menarik korbannya dengan link atau halaman yang mengandung requestter sembunyi.
Semakin website anda dikenal, semakin berpotensi dieksplorasi oleh siapapun. Hanya dengan memahami pemikiran dan usaha yang mungkin dilakukan penyerang, maka perancangan aplikasi web dapat diarahkan pada tindak pengamanan yang tepat.
Pada halnya serangan dengan menggunakan CSRF ini sebanding dengan serangan Sql Injection, tentu ini akan berisiko fatal terhadap website yang memilik kelemahan CSRF ini.
Untuk Masuk Ke CSRF ONLINE
Klik Disini atau CSRF ONLINE V2 CSRF V2
0 komentar:
Post a Comment
Berkomentar Secara Sopan Dan Menggunakan Bahasa Yang Baik Dan Benar