Cross-site Request Forgery adalah sebuah serangan pada website yang dieksekusi atas wewenang korban. Celah keamanan CSRF (baca "sea-surf) telah dikenal sejak tahun 1990-an dalambeberapa kasus eksploitas, dan tetap mengancam sampai saat ini, seiring dengan semakin menjamurnya berbagai website dengan teknologi dan fiturnya masing-masing. CSRF merupakan pemalsuan request yang berasal dari site yang berbeda, tetapi dari sisi client tidak mengubah alamat IP, karena memang dieksekusi oleh korban.
Adapun mekanisme penyerangan adalah sebagai berikut :
penyerang mengirimkan link atau halaman berisi request tersembunyi pada pengguna(korban), yang dieksekusi oleh pengguna tersebut ke website target. Dalam menyusun serangan, penyerang akan mempelajari terlebih dahulu kelemahan-kelemahan website target yang dapat dimanfaatkan dengan teknik CSRF.
Website yang menyimpan cookies sehingga mengizinkan pengguna untuk datang kembali tanpa mengetikkan username dan password akan menarik perhatian penyerang untuk lebih mengeksplorasi fitur-fitur yang terdapat pada website setelah login dilakukan.
Berhati-hatilah karena walaupun Anda membuat website yang cukup strict dalam masalah login, website tersebut belum tentu aman 100% dari serangan CSRF, bagaimana jika website tersebut memiliki fitur message/mailbox seperti yang dimiliki situs jejaring sosial dan webmail.
cara seorang hacker menembus situs atau web
13 tahun yang lalu
0 komentar:
Posting Komentar