CSRF (Cross Site Request Forgery): Pengertian, Jenis dan Cara Mencegahnya
CSRF adalah sebuah serangan cyber pada suatu website tertentu yang tentunya sangat berbahaya bagi pengguna website tersebut. Serangan ini sering tidak dikenali oleh pengguna dan akhirnya tidak sadar kalau sudah terkena serangan cyber tersebut. Berikut kami akan jelaskan mengenai CSRF dan juga bagaimana cara mencegahnya.
Apa Itu CSRF?
Upaya yang bisa dilakukan untuk bisa mencegah kita terkena serangan cyber adalah dengan mengerti apa itu CSRF. CSRF itu merupakan singkatan dari Cross Site Request Forgery, yang mana artinya adalah serangan dengan menggunakan sistem request. Jadi pengertian CSRF yakni serangan cyber yang mengeksploitasi website dengan membuat pengguna tanpa sadar mengirim permintaan.
Kode pada CSRF itu dibuat agar pengguna tidak perlu melakukan aksi selanjutnya, jadi hanya dengan satu klik saja. Konsepnya adalah oknum akan membuat pengguna seolah-oleh meminta request tertentu pada website dan kemudian web akan mengeksekusi permintaan tersebut. Konsep dari serangan tersebut sangat berbahaya, karena bisa sangat merugikan bagi para pengguna lho.
Kemungkinan paling parah yang mungkin bisa terjadi dari serangan ini adalah oknum akan transfer uang pengguna ke rekening oknum. Biasanya oknum akan memasang kode serangan CSRF menggunakan link pada website atau juga menggunakan gambar yang bisa diklik. CSRF ini termasuk dalam serangan cyber dengan jenis one click attack, karena pengguna hanya perlu satu klik saja untuk aktif.
Jenis-jenis Dari Serangan CSRF
Jenis serangan CSRF sendiri terbagi menjadi 2 jenis yang dibedakan berdasarkan media yang digunakan untuk pendistribusian dari serangan tersebut. Berikut ini kami akan jelaskan masing-masing jenis CSRF ini.
1. Stored
Stored CSRF adalah jenis serangan yang memanfaatkan media aplikasi website untuk bisa mendistribusikan URL untuk eksploitasi. Jenis ini memiliki kemungkinan berhasil yang sangat tinggi, karena di sini pengguna sudah pasti dalam posisi login pada website tersebut. Posisi pengguna yang login tentu saja mengurangi kecurigaan terhadap permintaan dari pengguna ini dan web mengira itu memang asli.
Jenis ini memang kemungkinan berhasilnya sangat tinggi, akan tetapi tentunya memiliki kelemahan yakni dari sisi jejak. Stored CSRF ini meninggalkan jejak riwayat yang jelas, sehingga akan lebih mudah untuk ditelusuri oleh pihak website.
2. Reflected
Reflected merupakan jenis serangan CSRF yang menggunakan sistem dari luar website untuk melakukan distribusi link URL. Biasanya jalur yang digunakan itu adalah melalui komentar dari blog, email dan masih banyak lagi jalur yang lainnya. Kemungkinan keberhasilan dari jenis ini mungkin lebih rendah dari Stored, karena mempergunakan sistem dari luar untuk membagikan link URL.
Baca Juga: Waspada Phising! Kenali Ciri-ciri dan Cara Menghindarinya
Pertama pengguna tidak dalam posisi login, sehingga website masih bisa melakukan kurasi terhadap permintaan dari pengguna. Kemudian posisinya belum tentu juga orang ada pada website tersebut, sehingga kemungkinan gagalnya jelas lebih tinggi. Tapi jejak dari jenis CSRF ini tidak terdeteksi, sehingga sulit untuk melacaknya.
Cara Kerja Serangan CSRF
Cara kerja CSRF ini sendiri sebenarnya sangat sederhana, namun aksi dari pelaku ini memang membuat pengguna tidak menyadarinya. Berikut ini kami akan coba jelaskan bagaimana cara kerjanya.
- Pertama tentu saja pengguna akan melakukan login pada suatu website tertentu.
- Pelaku akan melakukan phising baik dalam bentuk pesan atau juga teks yang akan mendorong pengguna untuk klik URL tersebut. URL ini sudah disematkan kode yang berisi perintah tertentu sesuai dengan keinginan dari pelaku.
- Setelah URL di klik, maka perintah akan langsung berjalan baik itu mengganti password, perintah transfer, atau juga perintah lainnya yang berbahaya.
CSRF adalah serangan yang mungkin tidak bisa disadari dengan mudah oleh pengguna atau pengunjung dari website. Jadi setelah klik tidak ada hal yang terjadi yang bisa dilihat pengguna, namun apabila password diganti maka pengguna tidak bisa login kembali.
Contoh Serangan CSRF Populer
Serangan CSRF ini mungkin terbilang masih baru, namun pada tahun 2019 lalu sempat menggemparkan karena berhasil masuk ke Facebook. Pada tahun itu Facebook mengeluarkan banyak dana untuk mengatasi serangan CSRF yang tentunya sangat mengkhawatirkan banyak penggunanya.
Bukan hanya Facebook, Paypal pun sempat terkena serangan CSRF ini yang ternyata berhasil mengganti foto profil dari pengguna Paypal. Kedua kasus tersebut merupakan contoh serangan CSRF yang cukup populer dan hampir semua pengguna internet mengetahuinya.
Cara Mencegahnya
Setelah sudah mengetahui mengenai CSRF dengan baik, maka saatnya untuk tahu bagaimana cara mencegah CSRF terjadi. Berikut ini beberapa cara yang bisa digunakan untuk mencegahnya.
1. Secret Validation Token
Secret Validation Token adalah cara yang bisa dilakukan oleh pihak website untuk memastikan permintaan yang dilakukan berasal dari pengguna. Jadi ada satu nilai acak yang sudah ditentukan oleh website kepada pengguna untuk menjadi otoritas dari pengguna itu sendiri. Nilai ini bersifat rahasia dan bisa menjadi validasi permintaan yang dilakukan pengguna memang benar asli.
Kelemahan dari cara ini adalah nilai token yang digunakan untuk validasi itu sama sejak dari pertama dan tidak pernah ganti.
2. Random Validation Token
Random Validation token ini memiliki konsep yang sama dengan Secret Validation Token, namun nilai yang digunakan selalu berubah. Nilai token itu dinamis dan terus berganti untuk setiap permintaan yang dilakukan oleh pengguna pada satu website.
CSRF adalah serangan yang sangat berbahaya dan harus dipahami supaya kita bisa menghindarinya. Kalian bisa mempelajarinya lebih lanjut di kursus Coding Studio yang materinya sangat lengkap dan detail.
