Stoppen Sie Cross-Site Request Forgery-Angriffe.
Cross-Site Request Forgery (CRSF) ist ein ernsthaftes Sicherheitsproblem, das einem Angreifer ermöglicht, eine Vielzahl von bösartigen Aktionen auszuführen. Dazu gehören das Leeren von Bankkonten, das Ändern von Passwörtern, das Stehlen von Informationen oder alles dazwischen. Im Bankwesen kann ein Angreifer beispielsweise ein leeres Passwort verwenden, um ein Bankkonto zu eröffnen und Geld zu stehlen.
Das Problem bei CRSF-Angriffen ist, dass sie von jedem leicht ausgeführt werden können. Tatsächlich können selbst wenn eine Website denselben Domainnamen verwendet, sie unter einer völlig anderen administrativen Struktur stehen. Deshalb ist es sehr wichtig, die Anmeldeinformationen zu sichern und sicherzustellen, dass der Benutzer authentifiziert ist, bevor eine Aktion ausgeführt wird.
Allerdings gibt es neben der Authentifizierung des Benutzers noch einen weiteren Angriffsvektor, der noch gefährlicher ist. Er heißt Cross-Site Request Forgery (CRSF). Es handelt sich um eine Methode, die es einem Angreifer ermöglicht, bösartigen Code einzureichen, der im Kontext der Sitzung eines Benutzers ausgeführt wird. Solange dieser Benutzer auf einer Website angemeldet ist, wird er ohne Möglichkeit, sich dagegen zu wehren, ausgeführt.
Um CRSF zu stoppen, müssen Sie die Anmeldeinformationen sichern, die dem Benutzer von einer Website zur Verfügung gestellt werden. Wenn also eine Website Informationen von einem Gerät des Benutzers anfordert, werden sie ihm nicht gegeben, es sei denn, er wurde authentifiziert.
Dies ermöglicht es Ihnen, einen Angriff zu stoppen, der zu Identitätsdiebstahl oder sogar finanziellen Verlusten führen könnte.
Nutzer-Kommentare zu No-CSRF
Haben Sie No-CSRF ausprobiert? Seien Sie der Erste, der Ihre Meinung hinterlässt!