{"id":203575,"date":"2025-04-03T06:30:00","date_gmt":"2025-04-03T05:30:00","guid":{"rendered":"https:\/\/liora.io\/de\/?p=203575"},"modified":"2026-02-06T05:45:03","modified_gmt":"2026-02-06T04:45:03","slug":"cross-site-request-forgery-was-ist-das","status":"publish","type":"post","link":"https:\/\/liora.io\/de\/cross-site-request-forgery-was-ist-das","title":{"rendered":"CSRF (Cross-Site Request Forgery): Gefahr erkennen und wirksam sch\u00fctzen"},"content":{"rendered":"<p><b>CSRF (Cross-site request forgery) oder Cross-Site Request Forgery ist eine Art von Cyberangriff. Dabei wird die aktive Sitzung eines Internetnutzers ausgenutzt, um unbemerkt sch\u00e4dliche Anfragen zu senden. Entdecke, wie sie funktioniert, welche Gefahren bestehen und wie Du Dich davor sch\u00fctzen kannst!<\/b><\/p>\n<p>Stell Dir vor, dass Du ohne es zu wissen, beim unschuldigen Surfen auf Deiner Lieblingsseite eine <b>Banktransaktion<\/b> autorisierst oder Deine <b>pers\u00f6nlichen Einstellungen<\/b> auf einer anderen Website \u00e4nderst, auf der Du eingeloggt bist. Gruselig, oder?<\/p>\n<p>Genau solche misslichen Situationen kann das <b>Cross-Site Request Forgery (CSRF)<\/b> verursachen. Dieser heimt\u00fcckische Angriff nutzt das Vertrauen aus, das <b>Webseiten<\/b> Deinem <b>Browser<\/b> entgegenbringen, und macht Dich zu einem ungewollten Komplizen&#8230;<\/p>\n<p><a href=\"https:\/\/liora.io\/de\/punycode-angriff-was-ist-das\" target=\"_blank\" rel=\"noopener\"><br \/>\nSchon mal vom Punycode Angriff geh\u00f6rt?<br \/>\n<\/a><\/p>\n<style>\n.elementor-heading-title{padding:0;margin:0;line-height:1}.elementor-widget-heading .elementor-heading-title[class*=elementor-size-]>a{color:inherit;font-size:inherit;line-height:inherit}.elementor-widget-heading .elementor-heading-title.elementor-size-small{font-size:15px}.elementor-widget-heading .elementor-heading-title.elementor-size-medium{font-size:19px}.elementor-widget-heading .elementor-heading-title.elementor-size-large{font-size:29px}.elementor-widget-heading .elementor-heading-title.elementor-size-xl{font-size:39px}.elementor-widget-heading .elementor-heading-title.elementor-size-xxl{font-size:59px}<\/style>\n<h2><font size=\"6\">Eine Schwachstelle, die es erm\u00f6glicht, Anfragen unbemerkt zu senden<\/font><\/h2>\n<p>F\u00fcr <a href=\"https:\/\/liora.io\/de\/cyberkriminalitaet-was-ist-das\">einen Cyberkriminellen<\/a> besteht eine <b>Cross-Site Request Forgery<\/b> darin, einen authentifizierten Benutzer dazu zu bringen, unerw\u00fcnschte Aktionen auf einer Webanwendung, bei der er eingeloggt ist, auszuf\u00fchren. Mit anderen Worten: Der Angreifer nutzt die aktive Sitzung des Nutzers aus, um unbemerkt <b>b\u00f6sartige Anfragen<\/b> zu senden. Um es besser zu verstehen, nehmen wir ein konkretes Beispiel.<\/p>\n<p>Angenommen, Du bist in Deinem Online-Bankkonto eingeloggt. In der Zwischenzeit besuchst Du eine andere <b>kompromittierte oder b\u00f6sartige Website<\/b>. Ohne Dein Wissen k\u00f6nnte diese Website ein <b>verstecktes Skript<\/b> enthalten, das eine Anfrage an Deine Bank sendet, um <b>Geld auf das Konto des Angreifers zu \u00fcberweisen<\/b>.<\/p>\n<p>Da Du bereits authentifiziert bist, betrachtet die Bank die Anfrage als legitim und f\u00fchrt sie aus. Das ist das gesamte <b>Gefahrpotenzial von CSRF<\/b>, das das Vertrauen zwischen dem Browser des Nutzers und der <b>angezielten Website<\/b> ausnutzt.<\/p>\n<p>Im Gegensatz zu anderen Angriffen, wie z.B. Cross-Site Scripting (XSS), die <b>b\u00f6sartige Code-Injektionen<\/b> in die Opferseite erfordern, ben\u00f6tigt CSRF nur die Umgehung der bereits dem Nutzer erteilten Berechtigungen! F\u00fcr jeden <a href=\"https:\/\/liora.io\/de\/webentwickler-kurs-wie-werde-ich-so-schnell-wie-moeglich-zum-experten\">Webentwickler<\/a>, der sich um die Sicherheit seiner Nutzer sorgt, ist das Verst\u00e4ndnis und der <b>Schutz vor CSRF<\/b> daher ein Muss.<\/p>\n<style>\n.elementor-widget-image{text-align:center}.elementor-widget-image a{display:inline-block}.elementor-widget-image a img[src$=\".svg\"]{width:48px}.elementor-widget-image img{vertical-align:middle;display:inline-block}<\/style>\n<p>\t\t\t\t\t\t\t\t\t\t\t\t<img decoding=\"async\" width=\"1000\" height=\"571\" src=\"https:\/\/liora.io\/app\/uploads\/sites\/8\/2025\/03\/cross-site-request-forgery-Liora-1.webp\" alt=\"\" loading=\"lazy\" srcset=\"https:\/\/liora.io\/app\/uploads\/sites\/8\/2025\/03\/cross-site-request-forgery-Liora-1.webp 1000w, https:\/\/liora.io\/app\/uploads\/sites\/8\/2025\/03\/cross-site-request-forgery-Liora-1-300x171.webp 300w, https:\/\/liora.io\/app\/uploads\/sites\/8\/2025\/03\/cross-site-request-forgery-Liora-1-768x439.webp 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\"><\/p>\n<h2><font size=\"6\">Wie Hacker das Vertrauen von Websites ausnutzen<\/font><\/h2>\n<p>Die Funktionsweise von CSRF beruht auf der <b>Ausnutzung des Vertrauens<\/b>, das eine Website dem Browser des Nutzers entgegenbringt. Wenn Letzterer auf einer Seite authentifiziert ist, speichert sein Browser <b>Authentifizierungsinformationen<\/b>. In der Regel in Form von Cookies.<\/p>\n<p>Diese Cookies werden bei <a href=\"https:\/\/liora.io\/de\/python-http-request-requests-alles-wichtige\">nachfolgenden HTTP-Anfragen<\/a> an dieselbe Seite automatisch eingebunden, um ein <b>fl\u00fcssiges Surfen<\/b> ohne st\u00e4ndige erneute Authentifizierung zu erm\u00f6glichen. Allerdings weist diese Bequemlichkeit eine <b>Sicherheitsl\u00fccke<\/b> auf. Ein Angreifer kann eine <b>sch\u00e4dliche Webseite<\/b> erstellen, die <b>verkleidete Anfragen<\/b> an die Seite richtet, auf der der Nutzer authentifiziert ist.<\/p>\n<p>Besucht der Benutzer diese Seite, w\u00e4hrend er auf der Zielseite eingeloggt ist, wird sein Browser die Anfrage zusammen mit den <b>Authentifizierungs-Cookies<\/b> senden \u2013 ohne Argwohn. Die Zielseite wird dann eine scheinbar legitime Anfrage von dem authentifizierten Benutzer erhalten und die Aktion ohne dessen Zustimmung durchf\u00fchren!<\/p>\n<p>Ein Angreifer k\u00f6nnte z.B. ein <b>unsichtbares Bild<\/b> in eine Webseite einf\u00fcgen: \u201e&lt;img src= \u00bbhttp:\/\/bank.beispiel.com\/\u00fcberweisung?konto=angreifer&amp;betrag=1000\u2033 alt= \u00bbTransaktion l\u00e4uft\u00ab&gt;\u201c. Besucht ein authentifizierter Nutzer von \u201ebank.beispiel.com\u201c diese Seite, wird sein Browser das <b>&lt;img&gt;<\/b>-Tag interpretieren und eine Anfrage an die Bankseite senden, um 1000 Geldeinheiten auf das Konto des Angreifers zu \u00fcberweisen. Und das alles, ohne dass der Nutzer es bemerkt!<\/p>\n<p><a href=\"https:\/\/liora.io\/de\/cyberkriminalitaet-was-ist-das\" target=\"_blank\" rel=\"noopener\"><br \/>\nSo kannst Du Dich sch\u00fctzen<br \/>\n<\/a><\/p>\n<h2><font size=\"6\">Was k\u00f6nnen Hacker mit einem CSRF erreichen?<\/font><\/h2>\n<p>Cyberkriminelle k\u00f6nnen die <b>CSRF-Angriffe<\/b> f\u00fcr verschiedene Zwecke nutzen. Zum Beispiel kann ein Angreifer einen <b>Link per E-Mail<\/b> senden, den Nutzer zum Klicken auffordernd. Dieser Link kann jedoch eine <b>Anfrage zur \u00c4nderung des Passworts des Nutzers<\/b> auf einer Seite enthalten, auf der er authentifiziert ist, und so Zugang zum Konto des Opfers verschaffen.<\/p>\n<p>Wie bereits erw\u00e4hnt, kann ein einloggter Nutzer seines <b>Online-Bankkontos<\/b> eine Webseite besuchen, die ein <b>Skript zur Initiierung einer \u00dcberweisung<\/b> von seinem Konto auf das Konto des Angreifers enth\u00e4lt.<\/p>\n<p>Eine weitere M\u00f6glichkeit ist, einen Benutzer zu zwingen, die <b>mit seinem Konto verbundene E-Mail-Adresse<\/b> auf einem Online-Dienst zu \u00e4ndern. Sobald die Adresse ge\u00e4ndert ist, k\u00f6nnte der Angreifer die Funktion \u201ePasswort vergessen\u201c nutzen, um das Passwort zur\u00fcckzusetzen und die Kontrolle \u00fcber das Konto zu erlangen.<\/p>\n<p>Diese verschiedenen Beispiele zeigen die Bandbreite der CSRF-Angriffe und unterstreichen die Bedeutung der Implementierung <b>angemessener Schutzma\u00dfnahmen<\/b>, um die Sicherheit der Benutzer online zu gew\u00e4hrleisten.<\/p>\n<p><img decoding=\"async\" width=\"1000\" height=\"571\" src=\"https:\/\/liora.io\/app\/uploads\/sites\/8\/2025\/03\/cross-site-request-forgery-Liora-2.webp\" alt=\"\" loading=\"lazy\" srcset=\"https:\/\/liora.io\/app\/uploads\/sites\/8\/2025\/03\/cross-site-request-forgery-Liora-2.webp 1000w, https:\/\/liora.io\/app\/uploads\/sites\/8\/2025\/03\/cross-site-request-forgery-Liora-2-300x171.webp 300w, https:\/\/liora.io\/app\/uploads\/sites\/8\/2025\/03\/cross-site-request-forgery-Liora-2-768x439.webp 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\"><\/p>\n<h2><font size=\"6\">Techniken und Methoden der Pr\u00e4vention<\/font><\/h2>\n<p>Gl\u00fccklicherweise gibt es mehrere effektive Strategien, um sich vor CSRF-Angriffen zu sch\u00fctzen. Das <b>Synchronizer Token Pattern<\/b> besteht darin, ein einzigartiges und zuf\u00e4lliges Token in jedes Formular oder jede Anfrage einzubinden, die Daten \u00e4ndern k\u00f6nnte.<\/p>\n<p>Dieses <b>Anti-CSRF-Token<\/b>, das serverseitig generiert wird, wird bei jeder empfangenen Anfrage \u00fcberpr\u00fcft. Wenn das Token fehlt oder falsch ist, wird die Anfrage abgelehnt. Diese Technik wird wegen ihrer Robustheit stark empfohlen. Eine weitere Methode besteht darin, das <b>SameSite-Attribut<\/b> f\u00fcr Cookies zu verwenden. Dieses gibt dem Browser vor, das Cookie bei <b>Cross-Site-Anfragen<\/b> nicht zu senden.<\/p>\n<p>Durch das Festlegen dieses <b>Attributs auf \u201eStrict\u201c oder \u201eLax\u201c<\/b> wird das Risiko verringert, dass Sitzungscookies in Anfragen von anderen Seiten eingeschlossen werden. Dies verhindert bestimmte CSRF-Angriffe. Der Server kann auch die <b>Herkunft der Anfragen<\/b> \u00fcberpr\u00fcfen, indem er die Header <b>\u201eReferer\u201c oder \u201eOrigin\u201c<\/b> analysiert. Wenn die Herkunft nicht mit der erwarteten Domain \u00fcbereinstimmt, wird die Anfrage abgelehnt.<\/p>\n<p>Auch wenn diese Methode eine <b>Sicherheitsebene<\/b> hinzuf\u00fcgt, kann sie umgangen werden und sollte nicht als einzige Schutzma\u00dfnahme verwendet werden. Dennoch f\u00fchrt ein unzureichendes Wissen \u00fcber <b>CSRF-Bedrohungen<\/b> und Pr\u00e4ventionsmethoden trotz dieser Schutzma\u00dfnahmen zu verwundbaren Anwendungen. Es ist entscheidend, die Entwicklungs-Teams in den besten Web-Sicherheitspraktiken zu schulen!<\/p>\n<p><a href=\"https:\/\/liora.io\/de\/die-digitale-identitaet\"><br \/>\nErfahre mehr \u00fcber digitale Identit\u00e4t<br \/>\n<\/a><\/p>\n<h2><font size=\"6\">Die besten Werkzeuge und Frameworks zum Schutz<\/font><\/h2>\n<p>Viele moderne Frameworks integrieren <b>CSRF-Schutzma\u00dfnahmen<\/b> nativ. Es ist jedoch wichtig, sicherzustellen, dass diese Schutzma\u00dfnahmen in deinen Projekten korrekt konfiguriert und aktiviert sind.<\/p>\n<p>Das bekannte <a href=\"https:\/\/liora.io\/de\/die-8-besten-python-frameworks\">Python-Framework<\/a> Django integriert zum Beispiel nativ einen Schutz gegen CSRF-Angriffe. Durch ein <b>spezifisches Middleware<\/b> und <b>Template-Tags<\/b> generiert Django automatisch CSRF-Tokens f\u00fcr jedes Formular und gew\u00e4hrleistet somit eine <b>systematische \u00dcberpr\u00fcfung der Anfragen<\/b>.<\/p>\n<p>Im Bereich PHP bietet <b>Laravel<\/b> ebenfalls einen integrierten Schutz gegen CSRF. Jedes Formular beinhaltet automatisch ein <b>CSRF-Token<\/b>, und das Framework validiert diese Token bei der Einreichung von Formularen. Jede nicht authentifizierte Anfrage wird dadurch blockiert.<\/p>\n<p>F\u00fcr Sicherheitstests ist <b>Burp Suite<\/b> ein unverzichtbares Werkzeug. Es erm\u00f6glicht die Analyse von HTTP-Anfragen, das <b>Erkennen potenzieller Schwachstellen<\/b>, einschlie\u00dflich <b>CSRF-Schwachstellen<\/b>, und die Bewertung der Wirksamkeit der implementierten Schutzma\u00dfnahmen.<\/p>\n<p>Zu erw\u00e4hnen ist auch das Open-Source-Projekt OWASP CSRFGuard, das eine <b>Java-Bibliothek<\/b> bereitstellt, die Schutz gegen CSRF-Angriffe implementiert. Es bietet eine zus\u00e4tzliche Sicherheitsschicht, indem es f\u00fcr jede Nutzer-Session einzigartige Tokens generiert.<\/p>\n<p>Die Nutzung dieser Werkzeuge und Frameworks <b>erleichtert die Implementierung robuster Schutzma\u00dfnahmen gegen CSRF-Angriffe<\/b>, w\u00e4hrend sie den Prozess f\u00fcr Entwickler vereinfacht.<\/p>\n<p><img decoding=\"async\" width=\"1000\" height=\"571\" src=\"https:\/\/liora.io\/app\/uploads\/sites\/8\/2025\/03\/cross-site-request-forgery-Liora-3.webp\" alt=\"\" loading=\"lazy\" srcset=\"https:\/\/liora.io\/app\/uploads\/sites\/8\/2025\/03\/cross-site-request-forgery-Liora-3.webp 1000w, https:\/\/liora.io\/app\/uploads\/sites\/8\/2025\/03\/cross-site-request-forgery-Liora-3-300x171.webp 300w, https:\/\/liora.io\/app\/uploads\/sites\/8\/2025\/03\/cross-site-request-forgery-Liora-3-768x439.webp 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\"><\/p>\n<h2><font size=\"6\">Fazit: CSRF, ein ebenso hinterh\u00e4ltiger wie gef\u00e4hrlicher Cyberangriff<\/font><\/h2>\n<p>In einer Zeit, in der Online-Interaktionen allgegenw\u00e4rtig sind, ist die <b>Sicherheit von Webanwendungen<\/b> wichtiger denn je. Die <b>CSRF-Angriffe<\/b>, obwohl diskret, k\u00f6nnen verheerende Folgen f\u00fcr Benutzer und Unternehmen haben. Es ist daher unerl\u00e4sslich, einen <b>proaktiven Sicherheitsansatz<\/b> zu verfolgen.<\/p>\n<p>Durch die Integration von <b>Anti-CSRF-Schutzma\u00dfnahmen<\/b> bereits in den ersten Entwicklungsphasen, durch die Nutzung sicherer <a href=\"https:\/\/liora.io\/de\/alles-ueber-go-frameworks\">Frameworks<\/a> und durch eine kontinuierliche Sensibilisierung der Teams f\u00fcr die besten Praktiken k\u00f6nnen Entwickler das Risiko dieser <b>Schwachstellen<\/b> erheblich reduzieren. Eine st\u00e4ndige Wachsamkeit, kombiniert mit der Nutzung geeigneter Werkzeuge, stellt die <b>beste Verteidigung<\/b> gegen diese <b>heimt\u00fcckischen Bedrohungen<\/b> dar.<\/p>\n<p>Um zu lernen, wie man CSRF und alle verschiedenen Arten von Cyberangriffen abwehrt, kannst Du <b>Liora<\/b> w\u00e4hlen. Unsere verschiedenen Schulungen erm\u00f6glichen es Dir, die <b>erforderlichen F\u00e4higkeiten<\/b> zu erwerben, um Analyst, <b>Administrator<\/b>, <b>Berater<\/b> oder <a href=\"https:\/\/liora.io\/de\/cybersicherheitsingenieur\">Cybersecurity Engineer<\/a> zu werden.<\/p>\n<p>Dank unserer praxisorientierten Didaktik kannst Du echte Expertise entwickeln und ein vom Staat anerkanntes <b>Diplom<\/b> sowie eine <b>berufliche Zertifizierung<\/b> erhalten. Wir bieten auch Entwicklerausbildungen mit Schwerpunkt auf Cybersecurity an, um Dir zu erm\u00f6glichen, <b>sichere Websites und Webanwendungen<\/b> zu erstellen.<\/p>\n<p><a href=\"https:\/\/liora.io\/de\/unsere-aus-und-weiterbildungen\">Alle unsere Weiterbildungen<\/a>&nbsp;k\u00f6nnen vollkommen remote als BootCamp oder Teilzeit absolviert werden, und unsere Einrichtung ist f\u00f6rderf\u00e4hig durch den Bildungsgutschein der Agentur f\u00fcr Arbeit. <b>Entdecke Liora!<\/b><\/p>\n<p><a href=\"https:\/\/liora.io\/de\/unsere-aus-und-weiterbildungen\" target=\"_blank\" rel=\"noopener\"><br \/>\nBilde Dich mit uns weiter<br \/>\n<\/a><\/p>\n<p>Du wei\u00dft jetzt alles \u00fcber CSRF-Cyberangriffe. F\u00fcr weitere Informationen zum gleichen Thema, entdecke unser Artikel \u00fcber XSS-Angriffe und <a href=\"https:\/\/liora.io\/de\/was-man-ueber-cyberangriffe-wissen-sollte\">unseren allgemeinen Artikel \u00fcber Cyberangriffe<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>CSRF (Cross-site request forgery) oder Cross-Site Request Forgery ist eine Art von Cyberangriff. Dabei wird die aktive Sitzung eines Internetnutzers ausgenutzt, um unbemerkt sch\u00e4dliche Anfragen zu senden. Entdecke, wie sie funktioniert, welche Gefahren bestehen und wie Du Dich davor sch\u00fctzen kannst! Stell Dir vor, dass Du ohne es zu wissen, beim unschuldigen Surfen auf Deiner [&hellip;]<\/p>\n","protected":false},"author":78,"featured_media":203577,"comment_status":"open","ping_status":"open","sticky":false,"template":"elementor_theme","format":"standard","meta":{"_acf_changed":false,"editor_notices":[],"footnotes":""},"categories":[2473],"class_list":["post-203575","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cybersicherheit"],"acf":[],"_links":{"self":[{"href":"https:\/\/liora.io\/de\/wp-json\/wp\/v2\/posts\/203575","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/liora.io\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/liora.io\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/liora.io\/de\/wp-json\/wp\/v2\/users\/78"}],"replies":[{"embeddable":true,"href":"https:\/\/liora.io\/de\/wp-json\/wp\/v2\/comments?post=203575"}],"version-history":[{"count":5,"href":"https:\/\/liora.io\/de\/wp-json\/wp\/v2\/posts\/203575\/revisions"}],"predecessor-version":[{"id":216768,"href":"https:\/\/liora.io\/de\/wp-json\/wp\/v2\/posts\/203575\/revisions\/216768"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/liora.io\/de\/wp-json\/wp\/v2\/media\/203577"}],"wp:attachment":[{"href":"https:\/\/liora.io\/de\/wp-json\/wp\/v2\/media?parent=203575"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/liora.io\/de\/wp-json\/wp\/v2\/categories?post=203575"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}