Shopping cart

Magazines cover a wide array subjects, including but not limited to fashion, lifestyle, health, politics, business, Entertainment, sports, science,

TnewsTnews
Fundamentals

Mengenal Apa Itu Cross-Site Request Forgery (CSRF)?

By - Fuad March 12, 2023 Comments (0) 3 Mins Read
Mengenal Apa Itu Cross-Site Request Forgery (CSRF)?

Cross-site request forgery (CSRF) adalah jenis serangan siber yang mengecoh korban untuk menggunakan kredensial mereka secara tidak sengaja dalam melakukan tindakan yang mengubah status atau data. Contohnya termasuk mentransfer dana, mengubah alamat email atau kata sandi, atau melakukan aktivitas yang tidak diinginkan lainnya. Serangan CSRF yang menargetkan akun administratif bisa sangat berbahaya karena berpotensi mengambil alih seluruh server atau aplikasi web.

Cara Kerja Serangan CSRF

Serangan CSRF berfokus pada permintaan yang mengubah status, seperti mengubah data dalam akun atau melakukan pembelian. Serangan ini tidak memberikan data kembali kepada penyerang (blind attack), sehingga bukan pilihan ideal untuk pencurian data. Berikut contoh alur serangan CSRF:

  1. Penyerang membuat permintaan palsu untuk mentransfer $10.000 ke akun penyerang.
  2. Permintaan tersebut disisipkan dalam hyperlink dan disebarkan melalui email atau website.
  3. Korban secara tidak sengaja mengklik tautan tersebut, yang mengirim permintaan transfer ke bank.
  4. Karena korban telah terotorisasi, server bank memproses permintaan sebagai valid dan mentransfer dana ke akun penyerang.

Ciri-Ciri dan Teknik Serangan CSRF

  1. Memanfaatkan Identitas Pengguna: Penyerang mengeksploitasi sesi pengguna yang telah masuk di aplikasi web.
  2. Memanipulasi Permintaan HTTP: Browser korban dikendalikan untuk mengirim permintaan HTTP tanpa sepengetahuan pengguna.
  3. Menggunakan Permintaan HTTP yang Tidak Dilindungi: Serangan ini menargetkan situs yang tidak memiliki perlindungan CSRF.

Beberapa metode HTTP rentan terhadap CSRF dengan tingkat kerentanan yang berbeda-beda:

  • GET: Tidak sering digunakan untuk serangan CSRF karena biasanya tidak mengubah status. Namun, parameter yang tertanam dalam tag seperti gambar dapat dieksploitasi.
  • POST: Digunakan untuk mengubah data, sehingga lebih rentan dan memerlukan perlindungan lebih ketat.
  • PUT dan DELETE: Harus dijalankan dengan kebijakan keamanan seperti SOP (Same Origin Policy) dan CORS (Cross-Origin Resource Sharing) untuk mencegah serangan.

Mitigasi Serangan CSRF

Beberapa strategi mitigasi umum dapat digunakan untuk mencegah serangan CSRF:

  1. Token Anti-CSRF: Metode ini menggunakan token acak untuk memastikan bahwa permintaan berasal dari pengguna yang sah. Terdapat dua pola penerapan token:
    • Synchronizer Token Pattern: Ketika pengguna membuka halaman web, server menyematkan token acak ke dalam formulir. Saat formulir dikirim, server memeriksa apakah token dalam permintaan cocok dengan token awal. Kelemahan metode ini adalah beban tambahan pada server untuk memverifikasi token di setiap permintaan.
    • Cookie-to-Header Token: Browser pengguna menerima cookie berisi token acak. JavaScript di sisi klien membaca token ini dan menyisipkannya ke dalam header HTTP untuk setiap permintaan. Jika permintaan sah, server dapat memverifikasi token dalam header. Metode ini mempersulit penyerang melakukan serangan karena hanya permintaan sah yang memiliki token valid.
  2. Web Application Firewall (WAF): Aturan khusus dalam WAF, seperti yang ditawarkan oleh Cloudflare, dapat digunakan untuk memblokir permintaan mencurigakan yang mengandung serangan CSRF.

Serangan CSRF mengingatkan kita akan kelemahan dalam sistem autentikasi web yang tidak dilindungi dengan benar. Meskipun sering dianggap sebagai serangan “tersembunyi,” dampaknya bisa sangat besar, terutama ketika menargetkan akun administratif atau layanan kritis.

Pendekatan berlapis sangat penting dalam mitigasi CSRF. Ini mencakup penggunaan token anti-CSRF, penerapan SOP dan CORS secara benar, serta pembatasan akses cookie hanya ke domain tertentu. Pengguna juga harus berhati-hati dalam mengklik tautan yang tidak dikenal untuk menghindari rekayasa sosial (social engineering).

Pada akhirnya, serangan CSRF menekankan pentingnya desain aplikasi web yang aman dan perlunya edukasi pengguna tentang risiko yang mungkin mereka hadapi. Keamanan siber adalah proses berkelanjutan, dan setiap pemilik aplikasi web harus secara proaktif memperbarui sistem mereka untuk menangkal kerentanan baru.

 

Comments are closed

Related Posts

AI Menambal Kode, Siapa Menambal Krisis Talenta Siber Indonesia?Application Security

AI Menambal Kode, Siapa Menambal Krisis

BY-Fuad October 20, 2025
Waspada! Serangan Rantai Pasokan (Supply Chain Attack) Mengintai Para Developer Melalui npmCase Studies

Waspada! Serangan Rantai Pasokan (Supply Chain

BY-Fuad September 9, 2025
Analisis Serangan: Kelompok Peretas Pro-Ukraina Lumpuhkan Platform Investasi RusiaCase Studies

Analisis Serangan: Kelompok Peretas Pro-Ukraina Lumpuhkan

BY-Fuad August 26, 2025
Perusahaan Game Kasino Bragg Gaming Group Konfirmasi Insiden PeretasanCase Studies

Perusahaan Game Kasino Bragg Gaming Group

BY-Fuad August 24, 2025
Operasi Serengeti 2.0: Interpol Bongkar Jaringan Kejahatan Siber Lintas Afrika, Ribuan Orang DitangkapCase Studies

Operasi Serengeti 2.0: Interpol Bongkar Jaringan

BY-Fuad August 23, 2025
Pelanggaran Data Masif: Hampir 50.000 Data Sensitif Bocor dari Dewan Bisnis New YorkBig Data Security

Pelanggaran Data Masif: Hampir 50.000 Data

BY-Fuad August 23, 2025