Wie hilft eine WAF gegen Cross-Site Request Forgery (CSRF)

Beschreibung
Cross-Site Request Forgery (CSRF): Dieser Angriff besteht darin, unrechtmäßige Anfragen an eine Website zu senden - im Namen eines Benutzers, der bereits über ein Sitzungscookie authentifiziert ist. Ein Angreifer kann Befehle im Namen des Nutzers ausführen, um z. B. Daten zu löschen, Inhalten zu veröffentlichen, Geld auf eigenes Konto zu überweisen.

Ohne einen speziellen CSRF-Schutz kann der Server nicht erkennen, ob die Anfragen tatsächlich vom legitimen Benutzer stammen, da sowohl das Sitzungscookie als auch die Anfragen selbst identisch aussehen.

Lösung
Eine WAF implementiert das Synchronizer Token Pattern, bei dem für jede Benutzersitzung ein eindeutiges CSRF-Token generiert wird, das bei jeder State-changing Anfrage mitgesendet werden muss. Darüber hinaus wird überprüft, von welcher Webseite eine Anfrage kommt. Dazu werden spezielle Informationen in Referer- und Origin-Header verwendet. Außerdem bestimmte Sicherheitseinstellungen wie „HTTP Only“, „Secure“ und „Same Site“ sorgen dafür, dass Sitzungscookies nicht gelesen oder missbraucht werden können.