MASIGNALPHAS2101
3071178398193978069

Apa Itu Bug CSRF/XSRF? Yuk Pahami !

Apa Itu Bug CSRF/XSRF? Yuk Pahami !
Add Comments
Friday, April 3, 2020

BUG CSRF (CROSS SITE REQUEST FORGERY)





Apa Itu Bug CSRF/XSRF (CROSS SITE REQUEST FORGERY)?

CSRF/XSRF Adalah Jenis Bug Yang Sangat Critical/Berbahaya!!

Karena Dengan Adanya Bug Ini, Hacker/Attacker Dapat Mencuri Request User, Sehingga Hacker Dapat Mengontrol User..

Apa Bahayanya Dari Bug CSRF Ini?

Selain Dapat Mengontrol User, Bug Ini Juga Mampu Mengontrol Web Target!

Serangan Ini Bekerja Pada Halaman Atau Link Yang Bekerja Di Halaman User. Dengan Memanfaatkan Beberapa Script Penting Dari Web Target, Hacker Dapat Membuat Sebuah Page/Halaman Tipuan.

Tidak Hanya User Yang Ditipu! Browsernya Juga Aoakakaakak :V

Oke Kita Ambil Contoh Seperti Ini..

Ada 1 Web, Contoh Nama Webnya TokoONLEN. Nah Jika Di Web Tersebur Tidak Di Encrypt Atau Tidak Terpasang Validasi Request (Token) Maka Hacker Dapat Mencuri Script Pada Web Tersebut Untuk Di Manfaatkan..

Biasanya Sang Hacker Hanya Mengambil Bagian
Data Dan
Bawah Saja..

Oke Lihat Script Dibawah Ini :


Nah Anggap Saja Itu Script Yang Ada Di Web Target Yang Sudah Hacker Curi, Nah..

Disitu Bisa Kalian Lihat? Terdapat Tombol/Button Submit Dan Action Yang Mengarahkan Ke Web Target. Jadi, Ketika User Klik Submit, Maka Secara Otomatis Akan Terjadi Perubahan Data, Kalian Bisa Lihat Si Hacker Sudah Menaruh Password Baru Pada Bagian Value="Hohohoh xD". Nah, Ketika User Klik Submit Maka Password Secara Otomatis Akan Berubah.. Menjadi Hohohoh xD..

Nah Berbahaya Kan?

Terus Gimana Cara Patchnya?

Mudah Kok.. Cukup Diberi Akses Token Saja Atau Csrf-Token...

Dengan Begitu Hacker Tidak Akan Lagi Bisa Mencuri Request User, Karena Telah Di Beri Akses Token.. Sehingga Hacker Harus Tau Tokenya Dulu Baru Bisa Di Jadikan Sebuah File CSRF.

Namun Itu Akan Menjadi Hal Yang Abu-Abu Bagi Hacker, Karena Token Akan Terus Berganti Dalam Beberapa Refresh Web Browser...

Oke.. Jika Masih Bingung Bisa Cek Video Saya Di Bawah Ini.. Terimakasih...

Note: Only a member of this blog may post a comment.