Leksikon
CSRF - Cross-Site Request Forgery
CSRF narrer en logget ind bruger til at udføre handlinger, de ikke mente at lave. Forstå angrebet — og hvordan man lukker hullet.
Hvad er CSRF?
CSRF — Cross-Site Request Forgery — er et angreb, der narrer en bruger, som allerede er logget ind, til at udføre en handling uden at vide det. Et skjult klik på en ondsindet side kan få din browser til at sende en anmodning til en tjeneste, du er logget ind på — fx "overfør penge" eller "skift e-mail" — fordi tjenesten tror, det er dig.
Hvordan det virker
Angrebet udnytter, at din browser automatisk sender dit login med til en tjeneste, du er logget ind på. Angriberen behøver ikke kende dit password — de skal bare få din browser til at sende anmodningen, mens du er logget ind.
Hvad det kan koste
Uønskede handlinger udført i brugerens navn — overførsler, ændringer, sletninger.
Tab af tillid til en løsning, der kan misbruges på den måde.
Sådan lukkes hullet
CSRF forhindres med indbyggede spærrer — typisk en hemmelig "kvittering", der følger med hver ægte handling, og som angriberen ikke kan kende. Det er standard i moderne udvikling, men skal være på plads bevidst. Det hører til de ting, der skal være i orden, før noget går live.
Ikke handlinger, din browser laver bag din ryg. Men kun det, du selv beder om.
Relaterede ydelser
Skal det her omsættes til noget, der virker hos jer? Så er det typisk her, vi kommer ind.
Fra begreb til løsning
Skal et af begreberne her omsættes til noget der rent faktisk virker i din virksomhed, så tag en uforpligtende snak med os.