Förstå och testa för förfalskning av begäranden över flera webbplatser
Cross-Site Request Forgery (CSRF)-attacker utnyttjar förtroendet som en webbplats har i en användares webbläsare. Testning hjälper till att identifiera sårbarheter.
Manuella CSRF-teststeg
- Identifiera potentiella mål: Leta upp formulär eller åtgärder som ändrar data (t.ex. ändra e-post, överföra pengar).
- Skapa en skadlig begäran: Återskapa den legitima begäran (POST eller GET) med hjälp av webbläsarens utvecklarverktyg eller ett verktyg som
curl. Ta bort alla giltiga CSRF-tokens. - Skapa en skadlig HTML-sida: Bygg en enkel HTML-sida som innehåller en
img-tagg, eniframeeller en dold form som automatiskt skickar in den skapade begäran när den laddas. - Offerscenario: Logga in på målapplikationen i en webbläsare. Öppna sedan den skadliga HTML-sidan i en annan webbläsare (eller en ny profil) där du inte är inloggad.
- Verifiera attacken: Kontrollera om åtgärden utfördes på målapplikationen i den inloggade webbläsaren.
Lyckad exploatering indikerar en CSRF-sårbarhet.
CSRF-skyddsmekanismer jämförda
| Skyddsmetod | Implementeringskomplexitet | Prestandapåverkan | Effektivitet |
|---|---|---|---|
| Synchronizer Token Pattern (STP) | Medium | Låg | Hög |
| Double Submit Cookie | Låg | Låg | Medium |
| SameSite Cookie Attribut | Mycket låg | Inga | Medium (beroende av webbläsarstöd) |
Regelbundna tester är avgörande, även med skydd på plats.
Copyright ©lotcrew.pages.dev 2026