Cross-site Request Forgery (CSRF) atau bisa disebut dengan one-click attack adalah sebuah serangan yang menggunakan injeksi script baik itu berupa kode javascript, link, atau gambar dengan memanfaatkan token autentikasi.
Disebut one-click attack karena metode ini hanya perlu pemicu dari user dan pemicunya bisa berupa link yang sudah dimaipulasi untuk mengeksekusi perintah.
Nah secara umum CSRF ini bekerja dengan memanfaatkan token autentikasi korbannya dengan tujuan melakukan suatu request yang tidak dinginkan oleh korban. Disini terlihat perbedaan antara CSRF dan Phising, Phising menggunakan url samaran untuk menipu korbannya yang seakan - akan menyerupai website resminya sedangkan CSRF korban akan dibawa kesebuah website yang baginya menarik dan oleh hacker website tersebut akan diinject dengan script jahat.
Solusi
- Segera logout dari akun bank saat tidak digunakan karena CSRF bekerja dengan memanfaatkan akses token pengguna.
- Untuk Developer Aplikasi
Memperbaharui sistem keamanan secara berkala sebab hacker tidak menggunakan metode penyerangan yang sama ke sistem yang sama.
Pastikan agar request yang sifatnya menambah, mengedit, dan menghapus data dilakukan dengan method POST dan method GET hanya untuk menampikan data saja. - Proteksi form dengan CSRF protection saat ini hampir semua framework PHP seperti CI, Laravel dll
Comments
Post a Comment