You are here
Home > Deface

Cross-Site Request Forgery (CSRF)

CSRF

CSRF adalah suatu exploitasi yang memaksa sebuah tindakan terhadap sebuah aplikasi web. Biasanya, serangan ini dilakukan terhadap proses upload file tanpa autentikasi. Tetapi sebenarnya banyak hal lain yang bisa dilakukan dengan teknik ini. Seperti mengirimkan email terhadap pengguna dan melakukan social engineering kepada pengguna untuk melakukan aksi tertentu, seperti perubahan data dan pengiriman uang.

Serangan ini dilakukan oleh penyerang setelah ia mengetahui file yang dapat dieksekusi untuk melakukan tindakan tertentu dengan mengirimkan sebuah request. Jadi, untuk melancarkan serangan ini seorang penyerang harus mengetahui betul cara kerja website yang ia serang. Sebuah https, tidaklah cukup untuk mencegah serangan ini.

Disini saya akan mencontohkan bagaimana sebuah CSRF dapat mengeksekusi perintah upload file tanpa sebuah autentikasi. Yaitu pada celah roxy filemanager.

1.Saya membuat script csrf dengan html. Yang berisi form berupa input file dengan post tipe files[] dan sebuah button yang akan mengirimkan request upload terhadap /php/upload.php
Serangan csrf

2.Kemudian saya menjalankan script html tersebut dengan web browser, lalu memilih sebuah file untuk diupload dan mengirimkan request tersebut.
Serangan csrf

3.Saat request dikirimkan secara ilegal, maka hanya akan muncul tampilan blank. Tetapi itu semua tergantung dari file proses uploadnya, apakah mengeluarkan respon atau tidak
Serangan csrf

4.Karena saya telah memahami cara kerja website tersebut, yang apabila ada file diupload maka akan terupload pada direktori /fileman/Uploads/file.php maka saya dapat mengakses file tersebut
Serangan csrf

Baca juga artikel Cross-Site Scripting (XSS) yang merupakan teknik menginjeksi kode html dalam sebuah situs.

0N3R1D3R
Founder Indonesia To World Team
https://www.indonesiatoworld.org

Berlangganan via email

Ketik email:


Tinggalkan Balasan

Top