CSRF Attack im Red Teaming verstehen
Was ist ein CSRF Attack Angriff?
Definition und Grundlagen eines CSRF Angriffs
Ein CSRF Angriff (Cross Site Request Forgery) ist eine Angriffstechnik, bei der ein Angreifer einen angemeldeten Benutzer dazu bringt, unbewusst eine Anfrage an eine Webanwendung zu senden. Da der Benutzer bereits authentifiziert ist, führt das System die Anfrage mit den bestehenden Session-Rechten des Opfers aus.
Der Kern der Cross Site Request Forgery besteht darin, dass der Server nicht erkennt, ob eine Anfrage tatsächlich vom Benutzer selbst oder von einer fremden Webseite ausgelöst wurde. Dadurch kann ein Angreifer Aktionen ausführen lassen, ohne direkten Zugriff auf das Benutzerkonto zu besitzen.
Typische Ziele eines solchen Angriffs sind Kontoeinstellungen ändern, Passwörter zurücksetzen, E-Mail-Adressen austauschen oder sogar finanzielle Transaktionen auslösen. Solange die Anwendung keine zusätzlichen Schutzmechanismen nutzt, vertraut sie jeder Anfrage, die über die gültige Session des Nutzers eingeht.
Gerade deshalb zählt CSRF zu den klassischen Web Security Schwachstellen, die regelmäßig in Sicherheitsanalysen, Penetration Tests und Red Team Assessments untersucht werden. Die Angriffsmethode nutzt kein technisches Systemversagen, sondern eine logische Schwäche in der Art, wie Webanwendungen Benutzeranfragen verarbeiten.
Typischer Ablauf eines Cross Site Request Forgery Angriffs
Ein CSRF Angriff beginnt damit, dass ein Angreifer eine manipulierte Anfrage erstellt, die auf eine legitime Funktion einer Webanwendung abzielt. Dies kann beispielsweise eine HTTP-Anfrage sein, die eine Änderung im Benutzerkonto ausführt.
Diese manipulierte Anfrage wird anschließend in eine Webseite, ein Bild, ein Skript oder einen versteckten HTML-Request eingebettet. Besucht das Opfer diese Seite, wird die Anfrage automatisch im Hintergrund ausgeführt.
Da der Benutzer gleichzeitig bei der Zielanwendung eingeloggt ist, werden seine Session-Cookies automatisch an den Server übertragen. Der Server erkennt daher keinen Unterschied zwischen einer legitimen Aktion und der durch den Angreifer ausgelösten Anfrage.
Der Angriff funktioniert besonders gut, wenn sensible Aktionen ausschließlich über einfache HTTP POST oder GET Requests ausgeführt werden und keine zusätzliche Verifikation stattfindet. In solchen Fällen kann ein einziger Klick auf einen Link oder der Besuch einer Webseite bereits ausreichen, um eine unerwünschte Aktion auszulösen.
Aus Sicht des Servers scheint der Benutzer selbst die Aktion ausgeführt zu haben, wodurch der Angriff oft lange unentdeckt bleibt.
Technischer Hintergrund von CSRF Schwachstellen
Die technische Grundlage eines Cross Site Request Forgery Angriffs liegt im sogenannten Same Origin Trust Modell von Webanwendungen. Browser senden automatisch Cookies und Session-Daten mit jeder Anfrage an die jeweilige Domain.
Wenn ein Benutzer also bei einer Anwendung angemeldet ist, enthält jede Anfrage automatisch seine Authentifizierungsinformationen. Der Server geht davon aus, dass jede Anfrage vom legitimen Benutzer stammt, solange die Session gültig ist.
Eine Schwachstelle entsteht, wenn der Server nicht überprüft, ob die Anfrage tatsächlich von der eigenen Webseite oder von einer externen Quelle ausgelöst wurde. Fehlt diese Überprüfung, kann jede beliebige Webseite eine Anfrage an die Anwendung senden.
Da Browser keine Einschränkung dafür haben, welche Seiten eine Anfrage an eine andere Domain senden dürfen, kann ein Angreifer diese Mechanik ausnutzen. Das Opfer muss lediglich eine präparierte Webseite besuchen, während es gleichzeitig bei der Zielanwendung eingeloggt ist.
Die Anwendung interpretiert die Anfrage dann als legitime Benutzeraktion, obwohl sie tatsächlich von einer fremden Quelle stammt.
Schwierigkeit und Gefährdungspotenzial eines CSRF Angriffs
Die technische Umsetzung eines CSRF Angriffs gilt als relativ einfach, wenn eine Anwendung keine geeigneten Schutzmaßnahmen implementiert hat. Angreifer müssen lediglich verstehen, wie eine bestimmte Aktion innerhalb der Anwendung über HTTP-Anfragen ausgeführt wird.
Sobald die Struktur dieser Anfrage bekannt ist, kann sie relativ leicht reproduziert und in eine externe Webseite eingebettet werden. Der eigentliche Angriff erfolgt dann durch das Opfer selbst, das die Anfrage unbewusst ausführt.
Das Gefährdungspotenzial hängt stark davon ab, welche Aktionen über die Anwendung möglich sind. Während ein CSRF bei harmlosen Funktionen nur geringe Auswirkungen hat, können administrative Funktionen oder Finanztransaktionen zu erheblichen Schäden führen.
In komplexen Angriffsszenarien wird CSRF häufig mit anderen Schwachstellen kombiniert, beispielsweise mit Cross Site Scripting (XSS) oder schwachen Authentifizierungsprozessen. Dadurch kann der Angriff deutlich erweitert werden.
Gerade in großen Webplattformen stellt CSRF deshalb ein relevantes Risiko dar, wenn Sicherheitsmechanismen fehlen oder falsch implementiert sind.
Schutzmaßnahmen gegen Cross Site Request Forgery
Der wichtigste Schutz gegen CSRF Angriffe ist die Implementierung sogenannter CSRF Tokens. Dabei wird jede sensible Anfrage mit einem eindeutigen, vom Server generierten Token versehen.
Dieses Token wird in Formularen oder HTTP-Anfragen integriert und bei jeder Aktion überprüft. Da ein Angreifer dieses Token nicht kennt, kann er keine gültige Anfrage erzeugen.
Zusätzlich können moderne Browserfunktionen wie das SameSite Cookie Attribut verwendet werden. Dieses verhindert, dass Cookies automatisch bei Anfragen von externen Webseiten übertragen werden.
Auch eine klare Trennung sensibler Funktionen durch zusätzliche Bestätigungen, Passworteingaben oder Multi-Factor Authentication reduziert das Risiko solcher Angriffe erheblich.
In Kombination mit Security Monitoring, regelmäßigen Web Security Audits und sicheren Entwicklungsrichtlinien lassen sich CSRF Schwachstellen in modernen Webanwendungen effektiv vermeiden.
Einsatz von CSRF Attack im Red Teaming
Bei einer realistischen Angriffssimulation wird CSRF Attack meist nicht isoliert eingesetzt. Angreifer kombinieren mehrere Techniken miteinander, um schrittweise Zugang zu Systemen zu erhalten. Zunächst erfolgt häufig eine Informationssammlung, danach wird ein Einstiegspunkt gesucht und anschließend versucht, die eigenen Zugriffsrechte auszubauen.
Für Verteidiger ist das Verständnis solcher Angriffstechniken entscheidend. Blue Teams analysieren beispielsweise Netzwerkverkehr, Authentifizierungsversuche und ungewöhnliche Systemaktivitäten, um genau solche Angriffsmuster frühzeitig zu erkennen.
Wer sich intensiver mit Cybersecurity beschäftigt, sollte daher sowohl die offensive als auch die defensive Perspektive verstehen. Nur so lässt sich nachvollziehen, wie Angriffe entstehen und welche Schutzmaßnahmen in Unternehmen wirklich wirksam sind.
Auf der Plattform Hacking-Kurse können Lernende ihr Wissen durch strukturierte Lernpfade vertiefen und anschließend Cybersecurity-Zertifikate erwerben. Diese Zertifikate dienen als praktischer Nachweis für Kenntnisse im Bereich Red Teaming, Ethical Hacking und IT-Sicherheit und können auch im beruflichen Umfeld als Qualifikationsnachweis genutzt werden.
Weitere Red-Team Themen:
phishing, spear-phishing, whaling, vishing, smishing, xss, sql-injection, command-injection, file-upload, directory-traversal, brute-force, password-spraying, credential-stuffing, session-hijacking, mitm, dns-spoofing, arp-spoofing, wifi-evil-twin, privilege-escalation, lateral-movement, token-impersonation, pass-the-hash, pass-the-ticket, dll-hijacking, supply-chain, watering-hole, drive-by-download, data-exfiltration, persistence-mechanisms
