CSRF - Erklärung mal für einen Anfänger

  • Hallo beisammen,


    bin leider nicht mehr so oft im Forum (private Gründe). Aber letztens ist mir der Begriff CSRF (Cross-Site-Request-Forgery) untergekommen.

    Bin in Google und habe versucht zu verstehen, wie so was funktioniert (bitte nicht falsch verstehen: Nicht wie ich es als Hacker codiere, sonder wie das Grundprinzip abläuft)


    Wikipedia hat da als erstes eine Erläuterung, aber...... ich verstehe immer nur Bahnhof:

    .......CSRF ist ein Angriff auf ein Computersystem, bei dem der Angreifer eine Transaktion in einer Webanwendung durchführt. Dies geschieht nicht direkt, sondern der Angreifer bedient sich dazu eines Opfers, das bei einer Webanwendung bereits angemeldet sein muss. Dem Webbrowser des Opfers wird ohne dessen Wissen eine arglistige HTTP-Anfrage untergeschoben. Der Angreifer wählt die Anfrage so, dass bei deren Aufruf die Webanwendung die vom Angreifer gewünschte Aktion ausführt........


    Kann mir jemand im Forum das mal in einfacheren Worten vielleicht auch mit Beispielen für 'nen Anfänger erläutern?


    Danke schon mal im Voraus und Sorry für so 'ne Frage an die Profis.


    olkostbe

  • Fals english ok ist:


    Sehr vereinfachtes Bsp:

    Du bist bei einer Bank "deine-bank.de" und hast Dich vor einer Minute eingeloggt.

    Ich poste hier einen Link "https...deine-bank.de/geld/senden?an=cottton&wieviel=1000"

    und Du klickst auf diesen Link.

    Dann ruft Dein Browser diese Seite auf und übermittelt die Request.


    Das geht auch via POST und still und heimlich.

    Wird im Video gut erklärt.

  • Danke cotton, der computerphil erklärt das richtig gut!


    Nur zum Verständnis zu Deinem Beispiel mit "deine-bank.de" eine Frage:


    Wenn der Codierer der Bank einen token reinprogrammiert HÄTTE, würde also Dein Link "https...deine-bank.de/geld/senden?an=cottton&wieviel=1000" auch nicht funktionieren. Richtig?


    In diesem Fall dann eine Anwendungstechnische Frage: Woher erkenne ich als Anwender eigentlich, dass eine HP - Anwendung mit token abgesichert ist?


    olkostbe

  • Wenn der Codierer der Bank einen token reinprogrammiert HÄTTE, würde also Dein Link "https...deine-bank.de/geld/senden?an=cottton&wieviel=1000" auch nicht funktionieren. Richtig?

    Ja. Der csrf-token müsste ja existent sein und auf die Request passen.



    Woher erkenne ich als Anwender eigentlich, dass eine HP - Anwendung mit token abgesichert ist?

    Rechtsklick -> Element untersuchen.

    In der Form könnte es einen Token geben.

    Die können aber auch in der url stehen (macht aber kaum jemand denk ich),

    oder per Header (siehe Wiki X-XSRF-TOKEN).


    Auf den ersten Blick kann man das nicht sehen.