Daftar Isi:
- Definisi - Apa yang dimaksud Pemalsuan Permintaan Lintas Situs (CSRF)?
- Techopedia menjelaskan Pemalsuan Permintaan Lintas Situs (CSRF)
Definisi - Apa yang dimaksud Pemalsuan Permintaan Lintas Situs (CSRF)?
Pemalsuan permintaan lintas situs (CSRF) adalah jenis eksploitasi situs web yang dilakukan dengan mengeluarkan perintah tidak sah dari pengguna situs web tepercaya. CSRF mengeksploitasi kepercayaan situs web untuk browser pengguna tertentu, sebagai lawan dari skrip lintas situs, yang mengeksploitasi kepercayaan pengguna untuk situs web.
Istilah ini juga dikenal sebagai sesi naik atau serangan satu kali klik.
Techopedia menjelaskan Pemalsuan Permintaan Lintas Situs (CSRF)
CSRF biasanya menggunakan perintah "GET" browser sebagai titik exploit. Pemalsu CSR menggunakan tag HTML seperti "IMG" untuk menyuntikkan perintah ke situs web tertentu. Pengguna tertentu dari situs web tersebut kemudian digunakan sebagai tuan rumah dan kaki tangan yang tidak disadari. Seringkali situs web tidak tahu bahwa itu sedang diserang, karena pengguna yang sah mengirim perintah. Penyerang mungkin mengeluarkan permintaan untuk mentransfer dana ke akun lain, menarik lebih banyak dana atau, dalam kasus PayPal dan situs sejenis, mengirim uang ke akun lain.
Serangan CSRF sulit dilakukan karena sejumlah hal harus terjadi agar bisa berhasil:
- Penyerang harus menargetkan situs web yang tidak memeriksa tajuk pengarah (yang biasa) atau pengguna / korban dengan peramban atau bug plug-in yang memungkinkan spoofing pengarah (yang jarang terjadi).
- Penyerang harus menemukan formulir pengiriman di situs web target, yang harus mampu seperti mengubah kredensial login alamat email korban atau melakukan transfer uang.
- Penyerang harus menentukan nilai yang benar untuk semua input formulir atau URL. Jika salah satu dari mereka diharuskan memiliki nilai atau ID rahasia yang tidak dapat ditebak oleh penyerang secara akurat, serangan itu akan gagal.
- Penyerang harus memikat pengguna / korban ke halaman Web dengan kode berbahaya saat korban masuk ke situs target.
Sebagai contoh, misalkan Orang A sedang menjelajahi rekening banknya sementara juga di ruang obrolan. Ada penyerang (Orang B) di ruang obrolan yang mengetahui bahwa Orang A juga masuk ke bank.com. Orang B memikat Orang A untuk mengklik tautan untuk gambar lucu. Tag "IMG" berisi nilai untuk input formulir bank.com, yang secara efektif akan mentransfer jumlah tertentu dari akun Orang A ke akun Orang B. Jika bank.com tidak memiliki otentikasi sekunder untuk Orang A sebelum dana ditransfer, serangan akan berhasil.
