Apa Itu CSRF, Cara Kerja, dan Cara Mencegahnya

Sedang Trending 2 minggu yang lalu
ARTICLE AD BOX

Pada kesempatan kali ini, bakal diulas mengenai apa itu CSRF, langkah kerja CSRF, jenis CSRF, serta langkah mencegahnya. Makanya, jangan beranjak dulu dari layarmu sebelum kalian pantengin sampai kelar tentang Apa Itu CSRF, Cara Kerja, dan Cara Mencegahnya

Apa Itu CSRF?

CSRF adalah singkatan dari “Cross-Site Request Forgery,” nan dalam bahasa Indonesia sering diterjemahkan sebagai “Pengintaian Permintaan Lintas Situs.” Ini adalah jenis serangan keamanan web nan bermaksud untuk memanipulasi tindakan nan diambil oleh pengguna nan sudah terautentikasi pada suatu website tanpa sepengetahuan mereka.

Serangan ini memanfaatkan kondisi pengguna nan sudah terotentikasi dalam sesi aktif di website tertentu. Dengan demikian, website percaya bahwa permintaan nan datang dari pengguna itu sendiri adalah sah.

Kesalahan pada umumnya adalah jika website nan rentan tidak melakukan verifikasi nan memadai untuk memastikan bahwa permintaan tersebut betul-betul berasal dari pengguna nan sah namalain jika website tidak menggunakan sistem token untuk mencegah serangan ini.

Alasan Perlu Diwaspadai

Berikut ini beberapa argumen kenapa perlu waspada terhadap serangan ini: 

  • Pengguna Terotentikasi: Serangan ini memanfaatkan sesi aktif pengguna nan sudah terotentikasi sehingga website percaya bahwa permintaan berasal dari pengguna nan sah.
  • Potensi Dampak Besar: Dampak dari serangan ini bisa sangat merusak, seperti mengubah password, mengirim email palsu, namalain menghapus info krusial pengguna.
  • Kemungkinan Penyebaran Luas: Serangan ini dapat disamarkan dengan baik dan mengecoh pengguna serta pemilik website. Jika serangan berhasil, efeknya dapat menyebar luas tanpa sepengetahuan pengguna.
  • Cara Serangan Tersembunyi: Serangan ini dapat disembunyikan dalam beragam cara, misalnya dengan menyisipkan kode jahat dalam gambar namalain tautan.
  • Rentan Terhadap Skrip Jahat: Serangan ini dapat dilakukan oleh pihak nan jahat dengan skrip nan dirancang unik sehingga sangat susah dideteksi.

Jenis CSRF 

Di bagian ini, kita bakal mengidentifikasi dan menjelaskan beberapa jenis CSRF nan umum:

  1. Sederhana: Ini adalah jenis serangan paling sederhana. Pada serangan ini, seorang penyerang menggunakan tautan namalain gambar tersembunyi untuk mengarahkan pengguna nan terinfeksi ke website nan menjadi target. Saat pengguna mengunjungi situs target, permintaan tiruan secara otomatis dikirimkan tanpa sepengetahuan mereka.
  2. Dalam Gambar: Dalam jenis serangan ini, penyerang menyisipkan kode CSRF dalam gambar nan ada di website. Ketika pengguna memandang namalain mengklik gambar tersebut, permintaan tiruan bakal dikirimkan ke situs target. Hal ini sering kali memungkinkan penyerang untuk mengambil tindakan tanpa izin pengguna.
  3. Serangan Melalui Formulir: Dalam jenis CSRF ini, penyerang membikin blangko tiruan nan meniru blangko nan ada di situs target. Formulir tiruan ini dapat berisi permintaan nan tidak diinginkan namalain jahat. Ketika pengguna nan terinfeksi mengisi blangko tersebut, info nan dimasukkan bakal diirimkan ke situs sasaran sehingga menyebabkan tindakan nan tidak sah.
  4. Serangan Melalui Iframe Tersembunyi: Penyerang dapat menyisipkan komponen iframe tersembunyi di laman web nan dikendalikan mereka. Ketika pengguna mengunjungi laman tersebut, permintaan tersembunyi bakal dikirimkan ke situs sasaran tanpa sepengetahuan mereka.
  5. Serangan Melalui JavaScript: Serangan ini juga dapat menggunakan JavaScript untuk memicu permintaan palsu. Penyerang dapat menyisipkan kode JavaScript di laman web nan memicu permintaan tanpa sepengetahuan pengguna.
  6. Serangan API: Dengan semakin banyaknya penggunaan API (Antarmuka Pemrograman Aplikasi) dalam aplikasi web, serangan ini juga bisa mengarah pada masalah di tingkat API. Penyerang dapat mencoba mengeksploitasi API dengan mengirimkan permintaan tiruan nan tidak sah.

Cara Kerja CSRF

Agar kalian lebih memahami langkah kerja CSRDF ini, yuk kita perinci langkah kerja CSRF:

  1. Pengguna Terotentikasi: Dalam serangan ini , pengguna nan terinfeksi namalain terdistraksi sedang terotentikasi di suatu website. Mereka mempunyai sesi aktif di situs tersebut.
  2. Penyerangan nan Tersembunyi: Penyerang mempersiapkan serangan dengan langkah menyusun permintaan tiruan nan mau dilakukan pada situs target. Permintaan ini bisa berupa mengubah password, mengirim pesan, apalagi menghapus akun pengguna.
  3. Penyusupan Kode Jahat: Kode jahat sering disisipkan dalam gambar, tautan, namalain laman web nan dikendalikan oleh penyerang. Penyerang dapat mengirimkan tautan namalain menggoda pengguna untuk mengunjungi laman tersebut.
  4. Klik namalain Pengunjung Halaman Jahat: Pengguna nan terotentikasi, tanpa curiga, dapat mengklik tautan namalain mengunjungi laman web nan mengandung kode jahat. Kode jahat tersebut dapat menyertakan permintaan tiruan nan bakal dikirimkan ke situs target.
  5. Permintaan ke Situs Target: Situs sasaran nan telah mengidentifikasi pengguna sebagai pengguna nan sah, bakal menerima permintaan tiruan tanpa curiga. Dalam pandangan website, permintaan tersebut tampak seperti permintaan nan sah dan dilakukan oleh pengguna nan aktif.
  6. Eksekusi Tindakan Tidak Sah: Setelah menerima permintaan palsu, situs sasaran bakal melaksanakan tindakan sesuai dengan permintaan tersebut, tanpa sepengetahuan namalain izin dari pengguna nan terinfeksi.

Penting untuk dicatat bahwa serangan ini berjuntai pada kepercayaan website terhadap sesi pengguna nan sudah terotentikasi. Dalam banyak kasus, website tidak mempunyai sistem nan memadai untuk memastikan bahwa permintaan nan masuk betul-betul berasal dari pengguna nan sah.

Cara Mencegah CSRF

Berikut ini beberapa langkah untuk mencegah CSRF:

  1. Token Anti-CSRF: Gunakan token anti-CSRF (Cross-Site Request Forgery) unik untuk setiap permintaan nan butuh otentikasi. Token ini kudu disertakan dalam permintaan HTTP dan divalidasi oleh server untuk memastikan bahwa permintaan tersebut betul-betul berasal dari pengguna nan sah. Token ini kudu berbudi pekerti random dan tidak dapat diprediksi oleh penyerang.
  2. Verifikasi Referer Header: Periksa header HTTP “Referer” namalain “Origin” untuk memastikan bahwa permintaan berasal dari situs nan sah. Namun, perlu diingat bahwa ini bukan metode nan sangat kuat lantaran dapat dimanipulasi oleh penyerang.
  3. Validasi Semua Permintaan: Validasi setiap permintaan nan datang ke server untuk memastikan keabsahan dan otorisasi. Pastikan bahwa pengguna mempunyai izin untuk melakukan tindakan nan diminta dalam permintaan.
  4. Implementasi SameSite Cookies: Setel atribut SameSite pada cookie untuk membatasi akses cookie dari situs lain. Hal ini membantu melindungi cookie otentikasi dari serangan ini.
  5. Logout nan Aman: Pastikan bahwa proses logout dari akun pengguna tidak dapat dimanipulasi oleh serangan ini. Logout kudu butuh konfirmasi namalain tindakan nan kuat dari pengguna.
  6. Penggunaan Metode HTTP nan Aman: Gunakan metode HTTP nan kondusif seperti POST daripada GET untuk tindakan nan memerlukan perubahan pada server. Serangan ini lebih mudah dilakukan melalui metode GET lantaran permintaan GET bisa disisipkan dalam tautan.
  7. Pemutusan Sesi: Implementasikan pemutusan sesi otomatis setelah periode inaktivitas nan ditentukan. Hal ini membantu melindungi akun pengguna jika sesi mereka diambil alih oleh serangan ini.

Yuk Cegah Serangan CSRF dengan Mengenalinya!

Setelah kita ketahui berdampingan tentang apa itu CSRF maka diketahui juga bahwa untuk mencegah serangan ini bisa melakukan penggunaan token anti-CSRF, verifikasi permintaan, dan penggunaan SameSite Cookies. Dengan beragam tindakan pencegahan, website dapat lebih kondusif dan terhindar dari serangan-serangan CSRF.

Semoga berfaedah 🙂

Selengkapnya
Sumber Kabar Tekno kincaimedia
Kabar Tekno kincaimedia