Hoe verschilt CSRF van XSS?

XSS injecteert kwaadaardig JavaScript in een pagina, zodat de aanvaller code in de browser van het slachtoffer draait. CSRF heeft geen code uitvoering op de doelsite nodig, het misbruikt alleen de browser om een verzoek met de cookies te sturen. XSS kan CSRF verdedigingen breken, dus XSS beschermen is voorwaarde.

Hoe beschermt WordPress tegen CSRF?

WordPress gebruikt Nonces, korte tokens gegenereerd met wp_create_nonce() en gecontroleerd met check_admin_referer() of wp_verify_nonce(). Ze zijn gekoppeld aan een specifieke actie en sessie en vervallen na 12 tot 24 uur.

Wat is CSRF (Cross Site Request Forgery)?

Q: Wat is CSRF (Cross Site Request Forgery)?

CSRF is een webaanval waarbij een ingelogde gebruiker wordt verleid een verzoek te sturen dat hij niet wilde. De browser hangt de sessie cookies automatisch mee, dus de server voert de actie uit als legitieme gebruiker. Verdediging: CSRF tokens, SameSite cookies, double submit cookies.

Cross Site Request Forgery (CSRF, ook XSRF of Session Riding) is een webaanval die een ingelogde gebruiker dwingt een ongewenste actie uit te voeren op een applicatie waar hij is geauthenticeerd. De aanvaller maakt een kwaadaardige link, afbeelding of formulier op een site die hij beheert. Wanneer het slachtoffer die pagina bezoekt terwijl hij nog is ingelogd op de doelsite (online bankieren, WordPress admin, webmail), stuurt de browser de aanvraag automatisch mee met het geldige sessie cookie. De server kan vervalst niet van echt onderscheiden en voert de actie uit. CSRF stond op plaats 5 in de OWASP Top 10 van 2007 en 2010, viel uit de Top 10 in 2017 dankzij ingebouwde framework verdediging, en staat in OWASP Top 10 2021 onder A01 Broken Access Control. De Samy worm op MySpace (oktober 2005, ruim 1 miljoen besmette profielen in 20 uur) is het bekendste CSRF incident.

Hoe werkt een CSRF aanval?

Slachtoffer is ingelogd op de doelsite.
Doelsite voert state veranderende acties uit op basis van cookies alleen.
Slachtoffer bezoekt een door de aanvaller beheerde pagina.

<img src="https://bank.example.nl/overboeken?naar=AANVALLER&bedrag=10000">

Typische doelwitten

Bankieren en betalen.
Webmail.
Adminpanelen.
Sociale netwerken (Samy worm).
E-commerce.
Routers en IoT.

CSRF vs XSS

Eigenschap	CSRF	XSS
Effect	Dwingt aanvraag	Voert aanvaller JS uit
Code op doel	Nee	Ja
Leest antwoord	Nee	Ja
Omzeilt CSRF token	Nee	Ja
Hoofdverdediging	Tokens, SameSite	Encoding, CSP

Standaard verdedigingen

Anti CSRF token (synchronizer token).
SameSite cookie (default Chrome sinds februari 2020).
Double submit cookie.
Origin en Referer controleren.
Custom header voor AJAX.
Heraanmelden voor kritieke acties.
POST in plaats van GET voor state wijzigingen.

WordPress bescherming

WordPress gebruikt Nonces. Functies: wp_nonce_field(), wp_create_nonce(), check_admin_referer(), check_ajax_referer(). Levensduur 24 uur.

SPA en REST API

SameSite=Strict op sessie cookie.
X-CSRF-Token header bij elke aanroep.
JWT in Authorization: Bearer elimineert CSRF maar vergroot XSS risico.

Reele incidenten

Samy worm op MySpace, oktober 2005.
YouTube 2008, Netflix 2006.
WordPress plugins in 2024 (Forminator, LiteSpeed Cache).
Routers (studie 2018, ruim 70 procent kwetsbaar).

Hoe helpt InspectWP?

InspectWP analyseert Set-Cookie headers en rapporteert SameSite en Secure attributen.

Wat is CSRF (Cross Site Request Forgery)?

Hoe werkt een CSRF aanval?

Typische doelwitten

CSRF vs XSS

Standaard verdedigingen

WordPress bescherming

SPA en REST API

Reele incidenten

Hoe helpt InspectWP?

Wat is DNSSEC?

Wat is Headless WordPress?

Gerelateerde artikelen

Wat zijn HTTP/2 en HTTP/3? Een praktische gids voor WordPress-sites

Wat zijn WordPress custom post types?

Wat is een WordPress block theme (Full Site Editing)?

Controleer nu uw WordPress-site