Cross site request forgery

Uitleg en voorbeeld

Bij deze technieek probeert een kwaadwillend iemand de thuisrouter/firewall van iemand te kraken van binnenuit.
Het is bekend dat velen het wachtwoord van hun thuisrouter gewoon op default laten staan. Het blijkt dat in de praktijk dat van 50 % van alle thuisrouters het wachtwoord op default staat. Deze routers staan vaak wel dicht voor remote access en kunnen dus niet van buitenaf worden benaderd.
Het is echter heel goed mogelijk om met een javascript de router vanuit het thuisnetwerk te benaderen. Javascript wordt namelijk door de browser (client-side) uitgevoerd en niet vanuit de server, zoals php. Het is heel goed mogelijk om een javascript te schrijven die via webaccess toegang verschaft tot de router (met default wachtwoord) en dan bijvoorbeeld de verwijzing naar de DNS server verandert naar een adres van een "foute"dns server. Deze dns server zal bijvoorbeeld een bank-url (www.mybank.nl) vertalen naar ip-adres van een nepsite die er hetzelfde uitziet als de normale banksite.

Op deze manier is het heel eenvoudig geworden om de bankgegevens van het slachtoffer op te vangen, waarna de rekening kan worden geplunderd (indien het authenticatieprincipe van de bank slecht is, wat helaas nog steeds voorkomt).

Remedie

Het is mogelijk om het uitvoeren van javascript in de browser te blokkeren (instellingen). Dit houdt echter in dat vele sites dan niet meer goed worden weergegeven. Bijna iedereen heeft daarom het uitvoeren van javascript aanstaan.
Een ander probleem is dat er niet op iets moet worden geklikt of zo. Het simpel browsen naar een dergelijke foute site is al voldoende.

De beste remedie tegen deze aanval is het default wachtwoord te wijzigen! Natuurlijk is het ook verstandig om niet zomaar op iedere link in een emailtje te klikken. Maar als het default wachtwoord is gewijzigd werkt de beschreven truc niet meer.