Cross-Site Request Forgery (CSRF / Session Riding)

Cross-Site Request Forgery ist ein Web-Angriff, bei dem ein Angreifer einen authentifizierten Nutzer dazu bringt, unbeabsichtigt eine Aktion in einer Web-Applikation auszuführen, indem er eine präparierte Anfrage in seinem Namen sendet. Schutzmaßnahmen umfassen CSRF-Token, SameSite-Cookie-Attribute und Double-Submit-Cookie-Muster; das OWASP Top-10-Projekt listet CSRF als bekannte Webapplikationsbedrohung. In IT-Vergaben für Web-Anwendungen sollten Auftraggeber CSRF-Schutzmaßnahmen als Mindestanforderung im Sicherheitskonzept festlegen und deren Implementierung durch Penetrationstests nachweisen lassen.