Serangan XSRF dikategorikan sebagai serangan injection code, dimana serangan berupa kode yang diinputkan pada halaman web di browser client lalu dieksekusi oleh aplikasi web. Fokus dari serangan XSRF adalah bagaimana kode dapat dinputkan pada komputer korban oleh penyerang yang berada pada komputer yang berbeda. Caranya adalah menyamarkan atau menyembunyikan kode tersebut dibalik suatu objek, seperti gambar atau sekumpulan teks. Kemudian objek tersebut diberikan kepada korban. Selanjutnya penyerang meminta korban untuk melakukan suatu intruksi terhadap objek yang telah diberikan, biasanya menggunakan metode Social Engineering. Apabila instruksi dilaksanakan maka kode ikut tereksekusi tanpa diketahui oleh korban. Ilustrasinya adalah sebagai berikut :
Ilustrasi Serangan XSRF.JPG
Keterangan pada gambar:
1. User login pada web server, misalnya pada webmail.
2. Server membuka sesi komunikasi dengan user atau client.
3. Penyerang telah menyediakan link agar dapat diakses oleh user. Misalnya dikirim ke email user atau diposting di suatu website. Penyerang meminta user untuk melakukan suatu intruksi dan user melakukannya.
4. Pada instruksi yang disediakan, penyerang menyimpan perintah yang tidak diketahui oleh user. Misalnya perintah berupa kode "https://mail.google.com/mail?logout&h" yang disembunyikan pada link berupa image atau objek gambar.
5. Ketika user menjalankan instruksi maka kode tersebut ikut juga tereksekusi. Kode akan diterjemahkan oleh web server sebagai permintaan dari client. Misalnya kode "https://mail.google.com/mail?logout&h" akan menyebabkan user sign_out atau keluar dari aplikasi webmail google. Berdasarkam metode serangannya, XSRF dibagi menjadi dua:
1. Reflected XSRF
Penyerang mengirim objek yang berisi kode langsung ke dalam sistem yang menjadi sasaran serangan. Tujuannya adalah ketika calon korban mengakses sistem miliknya tersebut, korban melihat objek tersebut dan mengeksekusinya. Misalnya kode “https://mail.google.com/mail?logout&h” dikirimkan kealamat email calon korban yang berdomain sama (“
2. Stored XSRF
Penyerang menggunakan sistem yang berada diluar sistem yang menjadi sasaran serangan. Penyerang menyediakan link untuk kode tersebut dengan harapan calon korban mengunjungi link tersebut dan mengeksekusinya. mengirim objek yang berisi kode langsung ke dalam sistem yang menjadi sasaran serangan. Misalnya kode “https://mail.google.com/mail?logout&h” diposting pada suatu aplikasi website dan website ini dapat diakses oleh banyak user yang dapat menjadi korban. Atau penyerang dapat menggiring calon korban tertentu dengan mengirim alamat website tersebut kealamat email calon korban yang berdomain di “
1 komentar:
thank atas informasinya ,,
Posting Komentar