Skip to main content

Cross-Site Request Vervalsing (CSRF)

Internetgebruikers merken vaak niet dat zij het doelwit van een cyberaanval zijn geworden. Cross-site request forgery (CSRF) is een aanvalsmethode die gebruikers dwingt ongewenste acties uit te voeren zonder dat zij het weten.

Wat is Cross-Site Request vervalsing (CSRF)?

Cross-site request forgery (CSRF) is een criminele aanval op een webtoepassing waarbij misbruik wordt gemaakt van het feit dat een legitieme gebruiker al is ingelogd op een webtoepassing – bijvoorbeeld zijn Facebook-, e-mail- of online bankrekening. Het “cross-site” gedeelte van de naam betekent dat een cross-site request-forgery aanval wordt uitgevoerd vanaf een andere website waarover de persoon die door de aanval wordt getroffen geen controle heeft. Het tweede deel, “request-forgery”, betekent dat het verzoek aan een webtoepassing wordt vervalst zodat het lijkt alsof het door een legitieme gebruiker is gedaan. Andere namen voor cross-site request forgery aanvallen zijn “session riding” of “sea surfing”.

Hoe werkt cross-site request forgery (CSRF)?

De eigenlijke aanval vindt plaats door het sturen van een HTTP-verzoek naar de browser van het slachtoffer van de aanval. Dit verzoek wordt zo gemaakt dat wanneer een webapplicatie wordt aangeroepen door de legitieme gebruiker, deze de door de aanvaller gewenste actie uitvoert. Het kan bijvoorbeeld gaan om het wijzigen van een e-mailadres of het overmaken van geld naar de rekening van iemand anders. Cross-site request forgery-aanvallen kunnen alleen worden uitgevoerd als de legitieme rekeninghouder na het verlaten van de applicatie ingelogd blijft omdat hij de functie “ingelogd blijven” heeft geactiveerd.


Heeft u nog vragen?

Neem contact met ons op


Verdere inhoud