CSRF oder Cross-Site Request Forgery ist eine Website-Sicherheitslücke, bei der ein Angreifer eine Aktion in der Sitzung eines Opfers auf einer anderen Website auslösen kann. Eines der Dinge, die CSRF zu einem so großen Risiko machen, ist, dass es nicht einmal eine Benutzerinteraktion erfordert. Das Opfer muss lediglich eine Webseite mit dem Exploit anzeigen.
Tipp: CSRF wird in der Regel entweder Buchstabe für Buchstabe oder als „Meeresbrandung“ ausgesprochen.
Wie funktioniert ein CSRF-Angriff?
Der Angriff beinhaltet, dass der Angreifer eine Website erstellt, die eine Methode zum Senden einer Anforderung an eine andere Website verwendet. Dies könnte eine Benutzerinteraktion erfordern, beispielsweise das Drücken einer Taste, aber es könnte auch interaktionslos sein. In JavaScript gibt es Möglichkeiten, eine Aktion automatisch auszuführen. Zum Beispiel ist ein Bild mit null mal null Pixeln für den Benutzer nicht sichtbar, kann jedoch so konfiguriert werden, dass seine „src“ eine Anfrage an eine andere Website sendet.
JavaScript ist eine clientseitige Sprache, das bedeutet, dass JavaScript-Code im Browser und nicht auf dem Webserver ausgeführt wird. Dank dieser Tatsache ist der Computer, der die CSRF-Anfrage stellt, tatsächlich der des Opfers. Leider bedeutet dies, dass die Anfrage mit allen Berechtigungen erfolgt, die der Benutzer hat. Sobald die angreifende Website das Opfer dazu verleitet hat, die CSRF-Anfrage zu stellen, ist die Anfrage im Wesentlichen nicht von dem Benutzer zu unterscheiden, der die Anfrage normal stellt.
CSRF ist ein Beispiel für einen „verwirrten stellvertretenden Angriff“ gegen den Webbrowser, da der Browser von einem Angreifer ohne diese Berechtigungen dazu gebracht wird, seine Berechtigungen zu verwenden. Diese Berechtigungen sind Ihre Sitzungs- und Authentifizierungstoken für die Zielwebsite. Ihr Browser fügt diese Details automatisch in jede Anfrage ein, die er stellt.
CSRF-Angriffe sind etwas kompliziert zu arrangieren. Zunächst muss die Zielwebsite ein Formular oder eine URL haben, die Nebenwirkungen wie das Löschen Ihres Kontos hat. Der Angreifer muss dann eine Anfrage erstellen, um die gewünschte Aktion auszuführen. Schließlich muss der Angreifer das Opfer dazu bringen, eine Webseite mit dem Exploit zu laden, während es auf der Zielwebsite angemeldet ist.
Um CSRF-Probleme zu vermeiden, ist das Beste, was Sie tun können, ein CSRF-Token hinzuzufügen. Ein CSRF-Token ist eine zufällig generierte Zeichenfolge, die als Cookie gesetzt wird. Der Wert muss in jeder Antwort neben einem Anforderungsheader enthalten sein, der den Wert enthält. Während ein CSRF-Angriff das Cookie enthalten kann, ist es nicht möglich, den Wert des CSRF-Tokens zu bestimmen, um den Header zu setzen, und so wird der Angriff abgewiesen.
Chrome zeigt Ihnen standardmäßig nicht die vollständige URL an. Dieses Detail interessiert Sie vielleicht nicht so sehr, aber wenn Sie aus irgendeinem Grund die Anzeige der vollständigen URL benötigen, finden Sie hier detaillierte Anweisungen, wie Sie Google Chrome dazu bringen, die vollständige URL in der Adressleiste anzuzeigen.
Reddit hat im Januar 2024 sein Design erneut geändert. Das neue Design ist für Benutzer von Desktop-Browsern sichtbar und schränkt den Haupt-Feed ein, während gleichzeitig Links bereitgestellt werden
Das Eingeben Ihres Lieblingszitats aus Ihrem Buch auf Facebook ist zeitaufwändig und voller Fehler. Erfahren Sie, wie Sie mit Google Lens Text aus Büchern auf Ihre Geräte kopieren.
Wenn Sie mit Chrome arbeiten, können Sie manchmal nicht auf bestimmte Websites zugreifen und erhalten die Fehlermeldung „Server-DNS-Adresse konnte in Chrome nicht gefunden werden“. Hier erfahren Sie, wie Sie das Problem beheben können.
Erinnerungen waren schon immer das größte Highlight von Google Home. Sie machen unser Leben sicherlich einfacher. Lassen Sie uns einen kurzen Überblick darüber geben, wie Sie Erinnerungen auf Google Home erstellen, damit Sie wichtige Besorgungen nie verpassen.
So ändern Sie Ihr Passwort für den Streaming-Videodienst Netflix mit Ihrem bevorzugten Browser oder Ihrer Android-App.
Erhalten Sie die Meldung „Etwas ist schiefgelaufen?“ Beim Zugriff auf Twitter in Google Chrome auf Ihrem Computer tritt die Fehlermeldung „Versuchen Sie es neu zu laden“ auf.
Beim Versuch, sich bei Ihrem Snapchat-Konto anzumelden, werden Sie mit einer Fehlermeldung und einem C14A-Code begrüßt. Möglicherweise sind die Server der Plattform ausgefallen, was überall zu Anmeldeproblemen führen kann.
Die Idee, Videospiele zu entwickeln, gefällt vielen. Der eigentliche Prozess ist jedoch entmutigend, insbesondere wenn man ein Programmieranfänger ist.
Vielleicht möchten Sie Ihre YouTube-Videos auf Instagram teilen, um Ihre Marke auszubauen und Engagement zu generieren. Aber wie teilen Sie YouTube-Videos in Ihrer Instagram-Story? Es gibt keine Möglichkeit, ein YouTube-Video direkt in Ihrer Instagram-Story zu teilen, aber es gibt eine Möglichkeit, dies zu umgehen.
