CROSS SITE REQUEST FORGERY (DASAR KEAMANAN SIBER)

-

 

๐Ÿ’ป Tutorial Praktikum: Memahami dan Mencegah CSRF (Cross-Site Request Forgery)

๐Ÿ” Apa itu CSRF?

CSRF (Cross-Site Request Forgery) adalah jenis serangan keamanan di mana penyerang memanfaatkan kredensial pengguna yang sedang login untuk melakukan aksi tanpa sepengetahuan korban di situs yang sah. Misalnya, tanpa sadar korban bisa saja mentransfer uang, mengganti password, atau menghapus akun hanya karena mengklik tautan tertentu.

⚙️ Mekanisme Serangan CSRF

  1. Penyerang membuat URL/formulir berbahaya

  2. Korban ditipu untuk mengklik link atau membuka halaman

  3. Permintaan dikirim dengan kredensial korban (cookie/session)

  4. Server memproses permintaan seolah-olah dari pengguna asli

๐Ÿ“š Studi Kasus: Transfer Uang

Ilustrasi Serangan:

  • Pak Budi login ke situs perbankan.

  • Ia menerima email berisi link:

    http://bank.com/transfer?amount=1000&to=attacker_account

  • Saat diklik, uang otomatis ditransfer tanpa izin Pak Budi.

๐Ÿงช Demo Praktikum CSRF Menggunakan XAMPP

1️⃣ Buat Folder di XAMPP

Buat C:\xampp\htdocs\crsf lalu buka folder melalui Visual Studio Code:

2️⃣ Buat Formulir Transfer (index.html)

<!DOCTYPE html>
<html>
<body>
<h2>Transfer Uang</h2>
<form action="transfer.php" method="POST">
  <label for="amount">Jumlah:</label><br>
  <input type="text" id="amount" name="amount"><br>
  <label for="to">Kepada:</label><br>
  <input type="text" id="to" name="to"><br><br>
  <input type="submit" value="Transfer">
</form>
</body>
</html>

3️⃣ Buat Script Transfer (transfer.php)

<?php
session_start();
// Proses transfer (tanpa perlindungan CSRF)
$amount = $_POST['amount'];
$to = $_POST['to'];
echo "Transferred $amount to $to";
?>

4️⃣ Buat Simulasi Serangan (csrf_attack.html)

<!DOCTYPE html>
<html>
<body>
<h2>CSRF Attack</h2>
<form action="http://localhost:8080/csrf/transfer.php" method="POST">
  <input type="hidden" name="amount" value="1000">
  <input type="hidden" name="to" value="attacker_account">
  <input type="submit" value="Submit">
</form>
</body>
</html>

๐Ÿงจ Cara Menjalankan Serangan

  1. Jalankan XAMPP (Apache harus aktif).

  2. Akses form transfer:
    http://localhost/csrf/index.html

  3. Isi formulir untuk cek apakah berfungsi.

  4. Akses file serangan:
    http://localhost/csrf/csrf_attack.html

  5. Klik "Submit", lihat hasilnya.

๐Ÿ›ก️ Cara Mencegah Serangan CSRF

Tambahkan token CSRF sebagai verifikasi. Berikut perbaikan pada transfer.php dan index.html.

✅ Update index.html menjadi index.php

Tambahkan token di formulir:

<?php
session_start();

// Generate CSRF token
if (empty($_SESSION['csrf_token'])) {
    $_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}
$token = $_SESSION['csrf_token'];
?>

<!DOCTYPE html>
<html>
<head>
  <title>Form Transfer Aman</title>
</head>
<body>

<h2>Transfer Uang (Dengan Proteksi CSRF)</h2>

<form action="transfer.php" method="POST">
  <input type="hidden" name="csrf_token" value="<?php echo $token; ?>">

  <label for="amount">Jumlah:</label><br>
  <input type="text" id="amount" name="amount"><br>

  <label for="to">Kepada:</label><br>
  <input type="text" id="to" name="to"><br><br>

  <input type="submit" value="Transfer">
</form>

</body>
</html>

✅ Update transfer.php

Verifikasi token sebelum memproses transfer:

<?php
session_start();

if ($_POST['csrf_token'] !== $_SESSION['csrf_token']) {
    die("CSRF token tidak valid.");
}

// Lanjut proses jika token valid
$amount = $_POST['amount'];
$to = $_POST['to'];
echo "Transferred $amount to $to";
?>

Hasil :

Saat kmu menekan "Submit" pada http://localhost:8080/csrf/csrf_attack.html outputnya akan menjadi seperti itu.

⚠️ Dampak Serangan CSRF

  • Transaksi keuangan ilegal

  • Perubahan data pribadi

  • Penghapusan akun

  • Akses tidak sah ke fitur penting

  • Kerugian reputasi bagi perusahaan/situs

✅ Kesimpulan

CSRF adalah serangan yang sangat berbahaya jika situs tidak memiliki perlindungan token. Dengan menambahkan token unik pada setiap formulir, kita dapat mencegah manipulasi data oleh pihak ketiga.

TERIMAKASIH

Komentar

Posting Komentar

Postingan populer dari blog ini

TUTORIAL ERP ODOO (ENTERPRISE RESOURCE PLANNING)

-
Gambar
Tutorial ERP Odoo: Studi Kasus PT. Sumber Makmur Topik: Cara Mengelola Penjualan, Pembelian, Produksi, Keuangan, SDM, dan CRM menggunakan Odoo Versi: Gunakan Odoo versi terbaru Hak Akses: Login sebagai Administrator Pastilkan anda sudah menginstal 7 modul dibawah ini didalam aplikasi Odoo anda: 1. Modul Sales (Penjualan) 2. Modul Purchase (Pembelian) 3. Modul Inventory (Inventaris) 4. Modul Manufacturing (Produksi) 5. Modul Invoicing/Accounting (Keuangan) 6. Modul Employees (SDM) 7. Modul CRM (Customer Relationship Managaement) ๐Ÿ“ฆ 1. Modul Penjualan – Membuat Sales Order Studi Kasus: PT. Sumber Makmur menerima pesanan 100 unit speaker Bluetooth. Langkah-langkah: Masuk ke modul Sales . Klik "New" untuk membuat Sales Order baru. Isi data pelanggan (buat kontak baru jika belum ada). Tambahkan produk: Nama Produk: Speaker Bluetooth – [Nama Anda] – [NIM Anda] Quantity: 100 Masukkan harga per unit sesuai kebijakan perusahaan. Simpan dan konf...
Baca selengkapnya

LOCAL/REMOTE FILE INCLUSION (DASAR KEMANAN SIBER)

-
Gambar
  ๐Ÿ’ป Tutorial Praktikum: Memahami dan Mencegah Serangan LFI & RFI ๐Ÿ›ก️ Apa Itu LFI & RFI? LFI (Local File Inclusion) : Kerentanan yang memungkinkan penyerang untuk memuat file lokal di server melalui parameter URL. RFI (Remote File Inclusion) : Kerentanan yang memungkinkan penyerang memuat file dari sumber eksternal (misalnya internet) dan mengeksekusinya di server. ๐ŸŽฏ Tujuan Serangan LFI/RFI: Membaca file konfigurasi server (misal: httpd.conf , .env ) Menjalankan skrip berbahaya Mencuri data sensitif Mengambil alih sistem (akses shell) ๐Ÿงช DEMO 1: SERANGAN LFI 1️⃣ Persiapan Buka folder XAMPP: C:\xampp\htdocs\ Buat folder: lfi Buka Visual Studio Code , lalu buka folder tersebut ( File > Open Folder > lfi ). 2️⃣ Buat File index.php <?php // index.php $page = isset ( $_GET [ 'page' ]) ? $_GET [ 'page' ] : 'home.php' ; include ( $page ); ?> 3️⃣ Buat File home.php <?php echo "Welcome to the h...
Baca selengkapnya

OSINT (DASAR KEAMANAN SIBER)

-
Gambar
TUTORIAL OSINT Hai teman-teman! Di blog kali ini, aku akan membagikan langkah-langkah lengkap untuk menyelesaikan challenge yang diberikan oleh dosen, yaitu mencari detail lokasi, merk motor, sepatu, dan negara dari video stunt Tom Cruise, serta membuat pin point map-nya, dan juga ada beberapa challenge menarik lainnya. Ini juga cocok buat kamu yang ingin belajar riset informasi dari internet. Yuk, kita mulai! ๐Ÿ Challenge 1: Detail Stunt ✅ Langkah-langkah: Dimana exact location (google pin maps) Tom Cruise melakukan stunt di video tersebut?https://www.google.com/maps/place/Cruise+Motorcycle+Stunt/@62.0586718,6.9688686,659m/data=!3m1!1e3!4m12!1m5!3m4!2zNjLCsDAzJzM2LjAiTiA2wrA1OCcxOC44IkU!8m2!3d62.06!4d6.9719!3m5!1s0x4616832bc0443609:0x66d97f38acb0a6f0!8m2!3d62.05821!4d6.9714498!16s%2Fg%2F11kqq9cqk8?entry=ttu&g_ep=EgoyMDI1MDUwNS4wIKXMDSoASAFQAw%3D%3D Merk dan type Motor Trail yang dipakai? " Motor yang digunakan adalah Honda CRF 250R yang telah dimodifikasi secara khusus ole...
Baca selengkapnya