Lompat ke konten Lompat ke sidebar Lompat ke footer
Beranda / Tugas Kuliah

Tugas Keamanan Jaringan Tentang Cross Site Request Forgery (CSRF)

Oleh Arga Afik
pemalsuan permintaan lintas situs

Cross-Site Request Forgery (CSRF)

Pemalsuan Permintaan Lintas Situs (CSRF) adalah serangan yang memaksa pengguna akhir untuk melakukan tindakan yang tidak diinginkan pada aplikasi web di mana mereka saat ini diautentikasi. Serangan CSRF secara khusus menargetkan permintaan yang diubah negara, bukan pencurian data, karena penyerang tidak memiliki cara untuk melihat respons terhadap permintaan yang dipalsukan. 

Dengan sedikit bantuan rekayasa sosial (seperti mengirim tautan melalui email atau obrolan), penyerang dapat menipu pengguna aplikasi web untuk melakukan tindakan yang dipilih penyerang. Jika korban adalah pengguna normal, serangan CSRF yang berhasil dapat memaksa pengguna untuk melakukan permintaan perubahan negara seperti mentransfer dana, mengubah alamat email mereka, dan sebagainya. Jika korban adalah akun administratif, CSRF dapat membahayakan seluruh aplikasi web.

Contoh serangan Cross Site Request Forgery (CSRF) katakan lah terdapat sebuah website transaksi pulsa eletrik, Si A merupakan salah satu membernya, dan memiliki deposit yang cukup untuk bertransaksi. untuk melakukan transaksi, website harus menggunakan pengguna login terlebih dahulu, lalu transaksi terjadi dengan mengakses link http://domain/transaksi.php?no-hpxxxxxxnilai-pulsa=100000, isi dari field no hp adalah no handphone tujuan yang ingin diisi ulang dengan pulsa senilai Rp 100.000 . tentunya developer web telah memproteksi link ini agar hanya dapat diakses oleh member yang telah berhasil login.

Si B merupakan tokoh antagonis, ia mengetahui cara kerja website tersebut, ia juga menemukan bahwa website itu memiliki fitur yang menyimpan otentifikasi member dalam jangka waktu tertentu (menggunakan session/cookies). selama masih valid pengguna dapat masuk tanpa perlu login dan memasukan password lagi. Si B (Penyerang) lalu mengirimkan email kepada si A (korban) berisi link  http://domain/transaksi.php?no-hpxxxxxxnilai-pulsa=100000, dimana field no_hp berisi nomor handphone si B. ini disamarkan dengan teknik tertentu dan seolah-olah merupakan link yang menarik. apa yang terjadi jika si A lengah mengklik link tersebut? jika cookie valid/tidak ekpired, transaksi tersebut akan terisi atas otoritas si A (sebagai pihak login) hasilnya si B menikmati pulsa gratis senilai Rp 100.000.

Arga Afik Masa kecil bersama simbah, suka berkelana di sawah, tidak begitu mewah tetapi sangat indah!