Cross-Site Request Forgery (CSRF)

Was ist CSRF?

Cross-Site Request Forgery (CSRF) ist eine Angriffsform auf Webanwendungen, bei der ein Nutzer unbemerkt eine Aktion ausführt, für die er bereits authentifiziert ist. Angreifer nutzen automatische Cookie-Übertragung aus.

Angriffsszenario

1. Nutzer ist bei bank.de eingeloggt

2. Er besucht eine bösartige Seite evil.com

3. Diese enthält einen versteckten HTML-Request (z. B. <img src="https://bank.de/transfer?...">)

4. Browser sendet Cookies mit → Bank glaubt: legitimer Auftrag

Schutzmaßnahmen

• CSRF-Token (Synchronizer Pattern)
  → Einmaliger Token in jedem Formular

• SameSite-Attribute für Cookies (SameSite=Strict/Lax)

• Double-Submit Cookies

• Referer-/Origin-Prüfung

• Framework-Integration (z. B. Spring Security, Django)

Normenbezug

• OWASP Top 10 – A05:2021

• ISO 27001 A.14.2.1 – Secure Application Design

• BSI C5 – Web Controls

Verwandte Begriffe

• Session Hijacking

• Cookie

• CSRF Token

• SameSite

• Cross-Site Scripting

• Secure by Design

Beispiel

Eine Online-Banking-Seite ließ POST-Transfers ohne CSRF-Token zu. Angreifer konnten durch ein manipuliertes Bild auf einer Webseite ungewollt Geldüberweisungen auslösen.