CSRF

"Deze server is kwetsbaar voor een cross-site request forgery-aanval. Voeg aan elk verzoek een CSRF-token of SameSite-cookiekenmerk toe."

Een cross-site request forgery (CSRF) is een aanval die de gebruiker ertoe aanzet om onbedoeld een verzoek naar een webapplicatie te sturen waarvoor deze is geverifieerd. CSRF-aanvallen maken misbruik van het vertrouwen dat een webapplicatie heeft in een geverifieerde gebruiker.

CSRF-aanvallen zijn vaak gericht en maken gebruik van social engineering, zoals:

Wanneer een gebruiker zich aanmeldt bij een webapplicatie, vraagt de aanvaller de gebruiker om op een URL te klikken die een ongeautoriseerd verzoek voor een specifieke webapplicatie bevat. De browser van de gebruiker stuurt dit kwaadwillig vervaardigde verzoek vervolgens naar een gerichte webapplicatie, inclusief sessie-informatie zoals sessiecookies of opgeslagen referenties. Als de gebruiker een actieve sessie heeft met een gerichte webapplicatie, verwerkt de applicatie dit nieuwe verzoek als een geautoriseerd, door de gebruiker geïnitieerd verzoek. Daardoor kan de aanvaller misbruik maken van de CSRF-kwetsbaarheid van de webapplicatie.

Het niveau van de aanval hangt af van het niveau van privileges dat het slachtoffer bezit. Een CSRF-aanval steelt niet direct de identiteit van de gebruiker, maar exploiteert de gebruiker om acties uit te voeren zonder de wil van de gebruiker.

Een succesvolle CSRF-aanval dwingt de gebruiker om het statuswijzigingsverzoek uit te voeren, zoals:

Ga als volgt te werk om een CSRF-aanval te voorkomen: