Cross-Site-Request-Forgery (CSRF)
Was ist Cross-Site-Request-Forgery (CSRF)?
Cross-Site-Request-Forgery (CSRF)Webangriff, der den Browser eines authentifizierten Nutzers zwingt, unerwünschte Anfragen an eine verwundbare Anwendung zu senden und so ohne Zustimmung Zustandsänderungen auszulösen.
Cross-Site-Request-Forgery (CSRF) nutzt aus, dass Browser Cookies und andere Anmeldedaten automatisch an ausgehende Requests anhängen. Ein Opfer, das bereits in der Zielanwendung eingeloggt ist, wird auf eine bösartige Seite gelockt, die im Hintergrund Formulare absendet oder API-Aufrufe macht und Aktionen wie Passwortänderungen, Überweisungen oder Kontoänderungen auslöst — alle im Namen des legitimen Nutzers. Schutz bieten Anti-CSRF-Token (Synchronizer Token), SameSite-Cookies (Lax oder Strict), Double-Submit-Pattern, erneute Authentifizierung für kritische Aktionen, Validierung von Origin-/Referer-Headern und nicht-Cookie-basierte Credentials wie Bearer-Tokens im Speicher.
● Beispiele
- 01
Eine eingeloggte Nutzerin öffnet eine vom Angreifer kontrollierte Seite, die im Hintergrund per POST auf /transfer Geld von ihrem Bankkonto überweist.
- 02
Ein Administrator klickt auf einen Link, dessen verstecktes Formular an /users/promote gesendet wird und dem Angreifer Adminrechte verleiht.
● Häufige Fragen
Was ist Cross-Site-Request-Forgery (CSRF)?
Webangriff, der den Browser eines authentifizierten Nutzers zwingt, unerwünschte Anfragen an eine verwundbare Anwendung zu senden und so ohne Zustimmung Zustandsänderungen auszulösen. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet Cross-Site-Request-Forgery (CSRF)?
Webangriff, der den Browser eines authentifizierten Nutzers zwingt, unerwünschte Anfragen an eine verwundbare Anwendung zu senden und so ohne Zustimmung Zustandsänderungen auszulösen.
Wie schützt man sich gegen Cross-Site-Request-Forgery (CSRF)?
Schutzmaßnahmen gegen Cross-Site-Request-Forgery (CSRF) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Cross-Site-Request-Forgery (CSRF)?
Übliche alternative Bezeichnungen: CSRF, Session Riding.