Memahami CSRF: Ancaman Tersembunyi di Dunia Web

Pernahkah Anda mendengar tentang CSRF? Istilah ini mungkin terdengar asing bagi sebagian besar orang. CSRF (Cross Site Request Forgery) adalah serangan yang terjadi pada website, namun sering kali luput dari perhatian pengguna. Padahal, jika dibiarkan dan tidak dicegah, keamanan data bisa terancam. Sebelum hal ini terjadi, bacalah ulasan berikut tentang apa itu CSRF, apa saja jenisnya, dan contohnys. Silakan baca sampai akhir!

Pengertian CSRF

CSRF (Cross-Site Request Forgery) adalah serangan eksploitasi web yang mengirimkan permintaan ke website tanpa sepengetahuan Anda melalui website yang sedang digunakan. Dari sana, aplikasi web mengeksekusi permintaan tersebut, yang sebenarnya bukan keinginan pengguna.

Oknum yang tidak bertanggung jawab ini sering menyematkan link pada gambar atau lainnya. Jika Anda mengkliknya secara tidak sengaja, Anda akan diarahkan ke website yang berisi kode berbahaya.

Kode ini dirancang agar CSRF diselesaikan dengan satu klik dan tidak memerlukan tindakan tambahan dari pengguna. Oleh karena itu, CSRF sering disebut sebagai serangan satu klik. Contoh perbuatan itu sendiri bermacam-macam dan tentunya merugikan. Contohnya seperti mengubah gambar profil Anda menjadi gambar orang lain, menghapus akun pengguna, atau mentransfer uang ke sebuah akun.

Pentingnya Mewaspadai CSRF

Penting untuk memahami mengapa serangan ini menimbulkan ancaman signifikan terhadap keamanan web. Inilah mengapa Anda harus waspada terhadap serangan ini:

• Pengguna yang Terotentikasi: Serangan ini mengeksploitasi sesi aktif pengguna yang sudah diautentikasi dan mengelabui website agar berasumsi bahwa permintaan tersebut berasal dari pengguna yang sah.
• Potensi Dampak Besar: Dampak serangan ini bisa sangat merusak. Contoh: mengubah kata sandi, mengirim email palsu, dan menghapus data sensitif pengguna.
• Potensi Penyebaran: Serangan ini bisa disamarkan dengan baik untuk menipu pengguna dan pemilik situs web. Serangan yang berhasil dapat berdampak luas tanpa sepengetahuan pengguna.
• Metode Serangan Tersembunyi: Serangan ini dapat disembunyikan dengan berbagai cara, seperti memasukkan kode berbahaya ke dalam gambar atau tautan.
• Kerentanan Skrip Berbahaya: Serangan ini dapat dilakukan oleh pihak jahat dengan menggunakan skrip yang dibuat khusus dan sangat sulit dideteksi.

Jenis Serangan CSRF

Berdasarkan media pendistribusiannya serangan CSRF terbagi menjadi dua,  yaitu stored dan reflected. Berikut ini penjelasannya:

1. Stored

Jenis Cross Site Request Forgery yang pertama ada stored. Jenis ini menggunakan aplikasi website sebagai sarana untuk mendistribusikan exploit URL. Serangan storage kemungkinan berhasil karena ketika pengguna masuk ke situs dan posisinya dianggap sebagai authentic user.

Jadi ketika pengguna mengirimkan permintaan, website akan menganggap itu adalah permintaan sah dari pengguna, meskipun pengguna hanya mengklik URL secara tidak sengaja dan tidak tahu apakah itu URL eksploitasi atau bukan. Kekurangan dari tipe ini adalah meninggalkan jejak dan riwayat yang jelas. Jadi Anda bisa mengetahui lebih lanjut mengenai hal ini pada website yang Anda gunakan.

2. Reflected

Jenis CSRF berikutnya yaitu reflected, ada perbedaan antara tipe pertama yang menggunakan media website untuk distribusinya, dan tipe kedua yang menggunakan sistem di luar website, seperti email, kolom komentar blog, dan massage board.

Karena serangan ini dilakukan di luar lokasi, kemungkinan besar akan gagal. Hal ini karena kemungkinan besar saat itu pengguna tidak berada pada sistem situs target. Tipe dengan reflected dinilai lebih aman bagi pelaku karena jejaknya cepat hilang dan sulit dilacak.

Contoh Serangan CSRF

Serangan CSRF sangat nyata adanya, contoh serangan yang pernah terjadi antara lain, pertama adalah serangan CSRF tahun 2019 di Facebook. Pada akhirnya, Facebook menghabiskan sekitar $25.000 untuk mencegah serangan CSRF yang bisa mengambil alih akun pengguna.

Tidak hanya Facebook, situs Paypal juga menjadi sasaran serangan CSRF yang memungkinkan pelaku mengubah gambar profil pengguna tanpa izin. Hal ini diketahui oleh seorang software enginer yang langsung melaporkan temuannya ke Paypal.

Kesimpulan

Sekarang Anda sudah punya gambaran tentang apa itu CSRF (Cross Site Request Forgery) yaitu jenis serangan berbasis web yang menyebabkan pengguna tanpa sadar mengirimkan permintaan melalui URL yang dieksploitasi.

Berhati-hatilah saat mengunjungi website karena banyak serangan berbahaya. Jika Anda memiliki website bisnis, jangan lupa untuk menambahkan layanan cyber security untuk menambah lapisan keamanan. Selalu berhati-hati saat melakukan aktivitas apa pun di Internet, semangat dan sukses selalu!