Ok kali ini saya mau apa itu CSRF (Cross-Site Request Forgery)
Kalau ditanya "CSRF Attack gimana sih?"
Dijawab: "Ya gitu buat upload"
Dijawab: "Ya gitu buat upload"
Ternyata masih banyak yang miskonsepsi tentang CSRF Attack.
Awal saya juga mikir seperti itu.
Setelah saya baca lebih dalam lagi, ternyata bukan.
Setelah saya baca lebih dalam lagi, ternyata bukan.
Awal yang saya tangkap itu dari nama lawasnya CSRF Attack yaitu "Session Riding". Yap! pengedalian session, tentunya Attack Vectornya pun butuh interaksi antar pengguna.
Karena OWASP pembahasannya keterkaitan dengan duit-duit terus, jadi mengekspetasi lebih orang-orang yang membaca pengertiannya.
Simpelnya:
Pada suatu "Social Media" terdapat "form" untuk "menghapus akun", kemudian kalian copy request yang ada di-form tersebut dijadikan file html.
Request tesebut berupa form yang mengarah ke-link tujuan beserta data yang seharusnya di-input pada form pada Social Media itu.
Kemudian kalian kirimkam file HTML ke korban. Bilamana korban mengklik submit form yang kalian buat maka akun korban akan terhapus.
Pada suatu "Social Media" terdapat "form" untuk "menghapus akun", kemudian kalian copy request yang ada di-form tersebut dijadikan file html.
Request tesebut berupa form yang mengarah ke-link tujuan beserta data yang seharusnya di-input pada form pada Social Media itu.
Kemudian kalian kirimkam file HTML ke korban. Bilamana korban mengklik submit form yang kalian buat maka akun korban akan terhapus.
Mengapa bisa terjadi seperti itu?
Karena tidak adanya Token untuk memvalidasi request yang dikirim.
Maka dari itu CSRF Token pada website sangatlah penting untuk menghindari hal-hal seperti ini.
Karena tidak adanya Token untuk memvalidasi request yang dikirim.
Maka dari itu CSRF Token pada website sangatlah penting untuk menghindari hal-hal seperti ini.
Kalian hanya perlu ingat "Session Riding" yaitu untuk mengendalikan session user lain untuk melakukan hal yang tidak diinginkan.
Mungkin hal-hal yang berkaitan dengan Session akan menjadi bahasan kita hnya di blog ini aja saja, tunggu next update artikel nya
from ID with Love
via Caraku26
Thank you
Cek info menarik lainya hanya disini
Cek info menarik lainya hanya disini
0 Comments