Keamanan aktivitas online semakin meresahkan karena seringnya terjadi tindak kejahatan siber? Agar keamanan tetap terjaga, mulailah untuk mencari cara melindungi penggunaan akun, termasuk mencari informasi apa itu CSRF, serangan yang bisa terjadi tanpa disadari saat pengguna internet menikmati aktivitas online mereka.
Daftar Isi
Tentang Apa Itu CSRF
Apa itu CSRF adalah singkatan dari Cross-Site Request Forgery, yang merupakan jenis serangan keamanan di dunia web yang memanfaatkan kepercayaan antara pengguna dan situs web yang terpercaya.
Penyerang mencoba memanfaatkan fakta bahwa saat pengguna masuk ke suatu situs web, browser mereka biasanya secara otomatis menyertakan kredensial (seperti cookies) dalam setiap permintaan yang mereka kirimkan ke situs tersebut.
Kemudian, penyerang menggunakan kelemahan ini dengan menyusupkan permintaan yang merugikan ke situs target dari situs yang dipercayai oleh pengguna. Hal tersebut bisa terjadi misalnya dengan membuat tautan jahat yang dipromosikan melalui email, media sosial, atau situs web lain.
Atau bisa juga dengan menyisipkan kode jahat ke dalam halaman web yang dikunjungi oleh korban. Saat pengguna mengklik tautan atau mengunjungi halaman tersebut, browser mereka secara otomatis mengirimkan permintaan ke situs target, yang kemudian dianggap oleh situs tersebut sebagai permintaan yang sah karena datang dari pengguna yang sudah diotentikasi.
Sehingga memungkinkan penyerang untuk menjalankan tindakan tertentu tanpa izin pengguna, seperti mengubah informasi akun, melakukan transaksi keuangan, atau mengakses data sensitif.
Jenis-jenis Serangan CSRF
Dari penjelasan apa itu CSRF di atas, tentunya kamu akan semakin berhati-hati sehingga tidak sembarangan mengklik tautan yang diterima, bukan?
Terdapat dua jenis serangan CSRF yang harus kamu tahu baik sebagai pengguna maupun pemilik situs web, yaitu:
Stored CSRF
Stored CSRF adalah jenis serangan CSRF di mana data yang dipasang di server oleh penyerang digunakan untuk melakukan serangan, bukan hanya permintaan tunggal.
Dalam serangan ini, penyerang memasukkan kode atau data yang berbahaya ke dalam situs web yang rentan, yang kemudian akan disimpan (stored) di server. Data tersebut bisa berupa skrip JavaScript, iframe, atau bahkan data formulir.
Ketika pengguna yang sudah masuk mengunjungi halaman yang mengandung data yang telah dimasukkan oleh penyerang, peramban mereka akan mengeksekusi atau mengirimkan data tersebut tanpa sepengetahuan mereka.
Sehingga hal tersebut bisa mengakibatkan tindakan yang tidak diinginkan atau merugikan, seperti mengubah informasi akun, melakukan transaksi keuangan, atau mengakses data sensitif.
Reflected CSRF
Jenis kedua dari apa itu CSRF adalah reflected CSRF, yaitu serangan yang dilakukan dengan memanfaatkan sistem di luar situs web target untuk mengirimkan exploit URL. Biasanya pengiriman URL tersebut dilakukan menggunakan email, pesan, konten dan kolom komentar blog, dan lainnya.
Sayangnya, serangan dari jenis CSRF satu ini berisiko mengalami kegagalan. Sebagian besar pengguna internet sedang tidak login ke situs web yang ditargetkan.
Meski demikian, pelaku merasa bahwa serangan ini aman karena jejak kejahatannya tidak bisa dilacak dengan mudah. Bahkan tidak bisa segera dihapus setelah serangan dilakukan.
Cara Kerja CSRF
Cara kerja CSRF turut melengkapi pengetahuan seputar apa itu CSRF itu sendiri. Oleh sebab itu, penting bagi kamu untuk mengetahuinya agar bisa lebih waspada dan tetap menjaga keamanan situs yang dikelola.
Pada saat pengguna mencoba mengakses sebuah situs, biasanya browser mereka secara otomatis menyertakan kredensial apa pun yang terkait dengan situs tersebut bersama permintaan mereka. Sehingga proses login menjadi lebih nyaman.
Kredensial tersebut bisa mencakup cookies sesi pengguna, kredensial otentikasi dasar, alamat IP, kredensial domain Windows, dan sebagainya.
Kenalan dengan IP address (alamat IP) di artikel satu ini yuk!
Akan tetapi, setelah pengguna diotentikasi ke situs, situs tersebut tidak memiliki cara untuk membedakan permintaan palsu dari permintaan pengguna yang sah.
Dengan mengambil identitas dan akses korban melalui serangan CSRF, hacker dapat membuat pengguna melakukan tindakan yang tidak diinginkan. Biasanya, ia membujuk korban untuk mengklik tautan dengan menggunakan teknik rekayasa email sosial media, pesan obrolan, atau bentuk komunikasi serupa.
Pengguna kemudian mungkin tanpa sadar menghadapi kode HTML atau JavaScript jahat dalam pesan surel atau setelah memuat halaman situs yang meminta URL tugas tertentu.
Selanjutnya tindak kejahatan akan dilakukan, baik secara langsung maupun dengan menggunakan kelemahan skrip lintas-situs. Pengguna sering tidak menyadari bahwa ada sesuatu yang terjadi sampai setelah tindakan jahat terjadi.
Kamu juga bisa membaca artikel tentang apa itu cyber crime sebagai bentuk kehati-hatian dalam beraktivitas, terutama yang melibatkan penggunaan internet.
Mengapa Perlu Mewaspadai CSRF?
Apa itu CSRF adalah serangan yang bisa menimbulkan dampak negatif. Jadi, pengguna harus selalu waspada terhadap tautan mencurigakan maupun pesan email dari orang yang tidak dikenal.
Sementara untuk pengembng situs web harus menerapkan keamanan yang kuat. Misalnya dengan menggunakan token CSRF dan verifikasi permintaan. Tujuannya adalah melindungi pengguna dari serangan CSRF maupun kemungkinan serangan siber lain.
Terdapat beberapa alasan mengapa setiap pengguna perlu mewaspadai CSRF, yaitu:
Penggunaan Identitas Palsu
Serangan CSRF memungkinkan penyerang untuk menggunakan identitas pengguna yang sah untuk menjalankan tindakan yang tidak diinginkan. Artinya, pengguna mungkin melakukan tindakan seperti mentransfer dana, mengubah informasi akun, atau melakukan pembelian tanpa sepengetahuan atau persetujuan mereka.
Kemungkinan Berbagai Risiko
Pengguna seringkali tidak menyadari bahwa mereka sedang menjadi korban serangan CSRF karena serangan tersebut dapat disembunyikan di balik tautan palsu, pesan email yang tampak sah, atau halaman web yang terlihat normal. Hal ini dapat menyebabkan tindakan yang tidak diinginkan dilakukan tanpa sepengetahuan mereka.
Potensi Kerugian Keuangan
Serangan CSRF dapat menyebabkan kerugian finansial bagi pengguna. Misalnya, penyerang dapat menggunakan akun pengguna untuk melakukan pembelian barang atau mentransfer dana tanpa izin, mengakibatkan hilangnya uang atau pembelian yang tidak diinginkan.
Pelanggaran Privasi
Selain kerugian finansial, serangan CSRF juga dapat mengakibatkan pelanggaran privasi. Penyerang dapat mengakses informasi sensitif yang disimpan di akun pengguna, seperti alamat pengiriman, data kartu kredit, atau riwayat transaksi, yang dapat disalahgunakan untuk tujuan yang merugikan.
Kredibilitas dan Reputasi
Jika seorang pengguna menjadi korban serangan CSRF dan akun mereka digunakan untuk melakukan tindakan yang merugikan, hal ini dapat merusak kredibilitas dan reputasi mereka secara online. Pengguna mungkin kehilangan kepercayaan dari teman atau pelanggan jika akun mereka terlibat dalam aktivitas yang mencurigakan atau merugikan.
Contoh CSRF
Untuk mendapatkan gambaran yang lebih dari apa itu CSRF, kamu mungkin memerlukan contoh yang mudah dipahami. Apakah kamu seorang pengguna media sosial aktif? Jika iya, mari simak contoh CSRF satu ini!
Saat menggunakan media sosial, kamu melihat sebuah pesan dari seorang teman yang berisi tautan yang mengatakan “Klik di sini untuk melihat foto lucu!”. Tanpa berpikir panjang, kemudian kamu langsung mengklik tautan tersebut.
Namun, apa yang tidak kamu sadari adalah bahwa tautan itu sebenarnya adalah bagian dari serangan CSRF yang ditargetkan pada situs web e-commerce yang digunakan. Setelah mengklik tautan tersebut, ada sebuah permintaan tersembunyi yang secara otomatis dikirimkan ke situs web e-commerce, mengubah alamat pengiriman di akun kamu menjadi alamat yang ditentukan oleh penyerang.
Hasilnya, barang yang kamu pesan berikutnya dari situs web e-commerce tersebut akan dikirim ke alamat yang telah diubah oleh penyerang, bukan ke alamat kamu yang sebenarnya.
Sayangnya, kamu mungkin tidak menyadari hal tersebut sampai paket tersebut tiba di tempat yang salah atau kamu menerima pemberitahuan pengiriman ke alamat yang tidak dikenal.
Cara Mencegah CSRF
Jadi, apa yang akan kamu lakukan setelah mengetahui apa itu CSRF dan mengapa perlu mewaspadainya? Sudah tahu juga kan apa saja contoh kejahatan berupa serangan CSRF?
Untuk bisa mencegah serangan tersebut, kamu bisa mencoba beberapa cara berikut:
Pastikan Website Memiliki Perlindungan Terhadap CSRF
Agar bisa mencegah terjadinya dampak dari serangan CSRF, salah satu hal yang bisa kamu lakukan adalah memastikan bahwa situs web sudah memiliki perlindungan yang tepat. Sehingga serangan CSRF tidak mudah menyerang dan merugikan pemilik maupun pengunjung situs web.
Alat keamanan situs akan dapat membantu menentukan apakah terjadi kerentanan dan serangan pada situs. Bahkan bisa menyediakan langkah penanganan masalah keamanan yang bisa terjadi kapan saja.
Gunakan Secret Validation Token
Untuk bisa mencegah serangan apa itu CSRF, kamu juga bisa menggunakan secret validation token. Token tersebut bekerja dengan cara mengirimkan informasi tambahan berupa nilai acak yang diatur oleh website setiap kali data dikirim ke server.
Fungsi dari nilai acak adalah menentukan apakah permintaan berasal dari pengguna yang berotoritas atau bukan. Pihak yang tidak berkepentingan (tanpa akses) akan sulit menebak nilai validasi token rahasia tersebut.
Manfaatkan Penggunaan Random Validation Token
Cara lain yang tidak kalah penting untuk dilakukan sebagai pencegahan terhadap CSRF adalah dengan memanfaatkan penggunaan random validation token. Token satu ini memiliki cara kerja yang tidak jauh berbeda dengan secret validation token.
Meski demikian, random validation token bersifat dinamis. Pengiriman data akan memiliki nilai yang berbeda. Setelah data terkirim, nilai token akan dihapus meski sebelumnya tersimpan pada session.
Pastikan Menggunakan HTTP yang Aman
Sudah familiar dengan HTTP? Agar bisa memastikan website terhindar dari serangan CSRF, kamu harus memastikan bahwa HTTP yang digunakan merupakan bentuk yang aman. Misalnya dengan memilih metode POST dibandingkan get untuk setiap tindakan yang memerlukan perubahan pada server.
Mengapa demikian? Metode GET rentan terhadap serangan CSRF karena permintaannya bisa disisipkan dalam tautan.
Tawarkan Proses Logout yang Aman
Keamanan selalu berhubungan dengan kenyamanan. Agar pengguna atau pengunjung situs merasa nyaman karena minim risiko terhadap berbagai bentuk serangan siber, termasuk CSRF, tawarkan proses logout yang aman.
Sehingga tidak ada pihak yang dapat memanipulasi akun pengguna melalui serangan apa itu CSRF. Jadi, sebaiknya sediakan proses logout dengan konfirmasi atau tindakan kuat dari pengguna.
Pemutusan Sesi
Untuk melengkapi langkah dan cara pencegahan serangan CSRF, kamu juga bisa mempertimbangkan pentingnya pemutusan sesi. Implementasikan pemutusan sesi otomatis setelah periode inaktivitas yang ditentukan.
Dengan begitu, akun pengguna akan terlindungi apabila sesi mereka sudah diambil alih oleh CSRF.
Kesimpulan
Apa itu CSRF semakin melengkapi informasi seputar tindak kejahatan di dunia digital berupa cyber crime, bukan? Dengan begitu, kamu bisa lebih berhati-hati baik sebagai pengguna maupun sebagai pemilik website.
Agar website kamu dipercaya sebagai website asli yang sah, bukan website yang digunakan untuk melakukan tindak kejahatan, buktikan dengan memberikan perlindungan dan keamanan yang tinggi. Misalnya dengan memasang SSL.
Kamu bisa beli SSL di Exabytes yang juga menyediakan layanan berbagai solusi cyber security untuk memastikan tingkat keamanan bagi pengguna maupun pengunjung website.
