Wat is cross-site request forgery (CSRF)?

Cross-site request forgery (CSRF) is een type beveiligingslek waarmee aanvallers gebruikers kunnen misleiden om acties uit te voeren die ze niet van plan waren. Dit wordt gedaan door namens de (ingelogde) gebruiker een verzoek in te dienen zonder diens medeweten of toestemming.

CSRF-aanvallen houden vaak in dat de gebruiker wordt misleid om op een kwaadaardige link te klikken of een kwaadaardige website te bezoeken. Zodra de gebruiker op de site is, kan de aanvaller zijn bestaande sessie-informatie gebruiken om namens hem verzoeken te doen, waardoor de aanvaller mogelijk gevoelige informatie kan stelen of acties kan uitvoeren die de gebruiker niet van plan was te doen.

Een veelvoorkomend voorbeeld van een CSRF-aanval is een aanvaller die een kwaadwillende e-mail naar een gebruiker stuurt met daarin een link die legitiem lijkt. Wanneer de gebruiker op de link klikt, wordt hij doorgestuurd naar een website die wordt beheerd door de aanvaller, waar de aanvaller zijn bestaande sessie-informatie kan gebruiken om namens hem acties uit te voeren, bijvoorbeeld het veranderen van een wachtwoord.

Om CSRF-aanvallen te voorkomen, is het belangrijk dat websites de juiste beveiligingsmaatregelen implementeren. Dit kan het gebruik van unieke, onvoorspelbare tokens voor elk verzoek omvatten (de zogenaamde CSRF-token), het controleren van de HTTP-referer-header om te verifiëren dat het verzoek afkomstig is van een vertrouwde bron en het implementeren van strikt beveiligingsbeleid voor het afhandelen van gevoelige acties.

Het is ook belangrijk dat gebruikers voorzichtig zijn bij het klikken op links en het bezoeken van websites, vooral als ze niet zeker zijn van de bron of legitimiteit van de link. Door deze voorzorgsmaatregelen te nemen, kunnen gebruikers zichzelf en hun informatie beschermen tegen misbruik door aanvallers.