Cross-Site-Request-Forgery (CSRF)

Auch bekannt als: CSRF, Session Riding

Webangriff, der den Browser eines authentifizierten Nutzers zwingt, unerwünschte Anfragen an eine verwundbare Anwendung zu senden und so ohne Zustimmung Zustandsänderungen auszulösen.

Cross-Site-Request-Forgery (CSRF) nutzt aus, dass Browser Cookies und andere Anmeldedaten automatisch an ausgehende Requests anhängen. Ein Opfer, das bereits in der Zielanwendung eingeloggt ist, wird auf eine bösartige Seite gelockt, die im Hintergrund Formulare absendet oder API-Aufrufe macht und Aktionen wie Passwortänderungen, Überweisungen oder Kontoänderungen auslöst — alle im Namen des legitimen Nutzers. Schutz bieten Anti-CSRF-Token (Synchronizer Token), SameSite-Cookies (Lax oder Strict), Double-Submit-Pattern, erneute Authentifizierung für kritische Aktionen, Validierung von Origin-/Referer-Headern und nicht-Cookie-basierte Credentials wie Bearer-Tokens im Speicher.

Beispiele

Eine eingeloggte Nutzerin öffnet eine vom Angreifer kontrollierte Seite, die im Hintergrund per POST auf /transfer Geld von ihrem Bankkonto überweist.
Ein Administrator klickt auf einen Link, dessen verstecktes Formular an /users/promote gesendet wird und dem Angreifer Adminrechte verleiht.

Cross-Site-Request-Forgery (CSRF)

Beispiele

Verwandte Begriffe

Cross-Site-Scripting (XSS)

SameSite Cookie

Session Hijacking

CORS (Cross-Origin Resource Sharing)

Session Management

OWASP Top 10

Definition

Beispiele

Verwandte Begriffe

Cross-Site-Scripting (XSS)

SameSite Cookie

Session Hijacking

CORS (Cross-Origin Resource Sharing)

Session Management

OWASP Top 10