Mengenal Serangan CSRF (Cross Site Request Forgery)

Mengenal Serangan CSRF (Cross Site Request Forgery)

10 Maret 2020 nefrit Blog

Serangan CSRF (Cross Site Request Forgery) merupakan sebuah serangan pada web apps yang dieksekusi atas authorization korban, serangan ini membuat korban mengeksekusi perintah yang seharusnya tidak dizinkan tanpa diketahui korban.

Contoh Kasus

Kita memiliki sebuah account pada website ex: www.sosmed.com lalu pada website tersebut anda login menggunakan alamat email nama_anda@gmail.com, selagi session anda aktif pada browser yang sama kemudian anda mendapat kiriman email dari attacker / hacker dimana email tersebut berisikan hal yang menarik sehingga anda meng-klik link/gambar yang ada kemudian anda dibawah kesebuah website dan tanpa anda sadari alamat email anda telah terganti dengan sendirinya karena pada link yang anda klik berisikan script berbahaya yang mengeksekusi pergantian alamat email anda secara valid. Selanjutnya seorang hacker memiliki full authorization pada account anda.


Prevention

  1. Gunakan CSRF Tokens 
  2. Set CORS hanya allowed dari IP/Domain  web apps itu sendiri. Block request jika bukan dari domain webs apps itu
  3. Set minimum browser yang diizinkan telah mendukun CORS


Next article saya akan membahas tentang bagaimana melakukan serangan pada web apps yang vulnerable terhadap CSRF.



Back to blog list

Tags

Bagikan


Join Discussion

Copyright 2020 © manadocoder.com. All rights reserved.
    Page rendered in 0.0693 seconds.