5. Cross Site Request Forgery (CSRF)

Das Problem: CSRF-Attacken, unter anderem auch "Session Riding" oder "One Klick Attacks" genannt, sind nicht neu, aber einfach - und potenziell verheerend. Bei dieser Angriffsart übernimmt der Hacker die Kontrolle über den Browser seines Opfers, sobald sich dieser bei einer Web-Seite eingeloggt hat, und sendet in dessen Namen bösartige Anfragen an die Web-Applikation. Web-Seiten sind diesbezüglich extrem verwundbar, weil sie Requests in der Regel auf Basis von Session-Cookies oder über die "Remember-me"-Funktion autorisieren. "99 Prozent der Applikationen im Internet sind anfällig für Cross Site Request Forgery", warnt Owasp-Chef Williams.

Beispiel: Ein als "Samy" bekannter Hacker verschaffte sich auf diese Weise Ende 2005 über eine Million "Freunde" auf MySpace.com. Als Hilfsmittel diente ein Wurm, der den Text "Samy is my hero" automatisch in Tausende von MySpace-Seiten einfügte. Der Vorfall mag zwar keinen großen Schaden angerichtet haben, demonstrierte aber das Gefahrenpotenzial, dass die Kombination aus Cross Site Scripting und Cross Site Request Forgery birgt.

Basis-Schutz: Laut Owasp gilt es zu gewährleisten, dass sich Applikationen nicht auf automatisch vom Browser übermittelte Daten oder Tokens verlassen. Die einzige Lösung aus Sicht der Experten: Die Verwendung nutzerspezifischer Tokens, die der Browser nicht speichert.