CSRF Attack
Cross-site request forgery, dikenal juga dengan one click attack atau session riding disingkat dengan CSRF atau XSRF, merupakan bentuk eksploitasi website yang dieksekusi atas wewenang korban, tanpa dikehendakinya. CSRF menipu web site melalui request dari user yang dipercaya. Serangan bekerja melalui link atau script pada halaman site yang diakses user. Link tersebut dapat berupa gambar/image yang terhubung ke website tertentu. Jika website menyimpan informasi otentikasi dalam sebuah cookie yang belum expire, maka dengan melakukan klik ke link tersebut akan menyebabkan website diakses menggunakan cookie user yang melakukan klik. Dengan kata lain, penyerang menipu browser user untuk mengirimkan HTTP requests ke website target.
Berikut ini cara melakukan CSRF Attack pada DVWA di kali linux:
- Disini saya contohkan ada 2 user, user pertama (Attacker) adalah smithy dengan password = 123. User kedua (Korban) adalah admin dengan password = password.
2. User pertama (Smithy) melakukan login.
3. Kemudian smithy ingin mengganti passwordnya menjadi = ade.
4. Ketika smithy selesai mengganti passwordnya ia menemukan celah keamanan CSRF di website ini, disalin lah link tersebut untuk nanti diberikan kepada si admin (korban).
5. Selanjutnya user kedua (Admin) melakukan login.
6. Ketika admin sudah login, admin mengakses link yang telah diberikan oleh smithy. Otomatis password si admin terganti menjadi = ade.
7. Ketika admin ingin melakukan login Kembali, admin tidak bisa login dengan passwordnya yang tadi karena sudah terganti menjadi ade.
8. Kemudian smithy sudah mengetahui password admin dan smithy melakukan login menggunakan akun admin dan berhasil login.
Sekian dan Terima Kasih.
