Khodayari et al., Cross-Site Request Forgery (CSRF) sisi klien adalah jenis kerentanan CSRF baru di mana musuh dapat mengelabui program JavaScript sisi klien untuk mengirimkan permintaan HTTP palsu ke situs target yang rentan dengan memodifikasi parameter input program.
Peguero et al., serangan CSRF menyalah gunakan fakta bahwa browser secara otomatis mengirimkan informasi otentikasi untuk setiap permintaan ke situs web yang diautentikasi, terlepas dari asal permintaan. Biasanya, penyerang mengelabui pengguna agar menavigasi ke situs yang dikendalikan penyerang, misalnya www.actioner.com, yang kemudian mengirimkan permintaan ke situs korban www.vulnerable.com saat pengguna login ke www.vulnerable.com di browser yang sama.
Sumber : https://brightsec.com/blog/cross-site-request-forgery-csrf
Dari gambar diatas dapat dilihat bahwa serangan CSRF menyerang korban dari website palsu yang dibuat peretas sama persis dengan website aslinya, sehingga korban tidak sadar dan melakukan aktifitas didalam web palsu tersebut seperti melakukan klik atau submit data. Berikut ini adalah video yang saya buat terkait serangan CSRF sebagai demonstrasi serangan dan dampaknya
REFERENSI
- Khodayari, S., & Pellegrino, G. (2021). {JAW}: Studying client-side {CSRF} with hybrid property graphs and declarative traversals. In 30th USENIX Security Symposium (USENIX Security 21) (pp. 2525-2542).
- Peguero, K., & Cheng, X. (2021). CSRF protection in JavaScript frameworks and the security of JavaScript applications. High-Confidence Computing, 1(2), 100035.