Morgen zusammen,

Egal welche Plattform man für seine Webseiten nutzt, muss man sich irgendwann die Frage stellen, ob das selbstentwickelte Prachtstück sicher ist oder nicht.

Ich grübel derzeit über die Absicherung gegen CSRF Attacken. Das erste was man meist lies ist die Seite komplett auf POST umzustellen. Dies ist zum einen bei manchen Sachen nicht möglich und zum anderen nützt es gegen einen Angreifer, der mehr als 2 Minuten in den Angriff investiert nichts bis gar nichts.

Nächster Tipp ist dann meist das Prüfen des Referrers. Das wird auch nicht wirklich funktionieren, zumal inzwischen die Übertragung des Referrers oft abgeschaltet ist. Was nicht gesendet wird, kann man auch nicht prüfen.

Bleibt noch alle wichtigen Funktionen mittels Challenge/Response abzusichern. Damit hat man schonmal alle abgewehrt, die einfach nur ein Post auf die Seite loslassen. Aber kommt man nicht auch hier relativ leicht drumrum? Nehmen wir ein Formular für Online-Überweisung als Beispiel. Könnte ich als Angreifer jetzt nicht einfach einen IFrame auf meine manipulierte Seite packen, der das Quellformular abruft? Dann hätte er doch auch den Challenge-Token und könnte damit die Tokenprüfung simpel aushebeln.

Wie sieht also eine gute Abwehrmethode aus? War bislang zu faul mal eine Demoattacke zu schreiben, daher könnte es sein, dass sich in meine theoretischen Gedanken schlicht ein Denkfehler eingeschlichen hat