CSRF (Cross-Site Request Forgery) adalah salah satu serangan berbahaya yang sering terjadi pada aplikasi web.
Sayangnya, banyak pengembang tidak sadar bahwa aplikasi mereka rentan terhadap CSRF.
Untungnya, ada alat gratis dan open-source bernama OWASP ZAP yang bisa membantu kita mendeteksi kerentanan CSRF secara otomatis.
🧠 Apa Itu CSRF?
CSRF terjadi saat penyerang menipu browser korban agar mengirim permintaan tanpa sepengetahuan pengguna, misalnya:
-
Mengganti password
-
Menambah admin
-
Menghapus data
Browser mengirimkan cookie login secara otomatis, jadi server mengira itu permintaan yang sah.
Kalau tidak ada token CSRF atau validasi khusus, server bisa tertipu!
🛠️ Apa Itu OWASP ZAP?
OWASP ZAP (Zed Attack Proxy) adalah alat gratis yang digunakan untuk:
-
Menguji keamanan aplikasi web
-
Mendeteksi celah seperti CSRF, XSS, SQL Injection, dan lainnya
-
Merekam dan menganalisis lalu lintas HTTP
Alat ini cocok untuk:
-
Developer pemula
-
Tim QA
-
Pentester profesional
🔎 Cara OWASP ZAP Mendeteksi CSRF
OWASP ZAP akan:
-
Merekam semua permintaan dari browser ke server (seperti saat kamu buka halaman, klik tombol, dll.)
-
Mencari form atau request POST yang tidak memiliki token CSRF
-
Memberikan peringatan jika:
-
Tidak ada token sama sekali
-
Token ada tapi tidak dicek di server
-
Token bisa digunakan ulang (replayable)
-
🚀 Langkah-Langkah Menggunakan OWASP ZAP untuk Deteksi CSRF
1. Download & Install OWASP ZAP
-
Kunjungi: https://www.zaproxy.org
-
Install sesuai sistem operasi kamu (Windows, macOS, Linux)
2. Atur Proxy di Browser
-
Buka browser dan arahkan proxy ke
localhost:8080 -
Pastikan semua trafik melewati OWASP ZAP
3. Mulai Rekam Aktivitas Web
-
Buka situs target seperti biasa (login, isi form, dll.)
-
ZAP akan mencatat semua aktivitas HTTP
4. Gunakan Fitur “Active Scan”
-
Klik kanan pada target URL → pilih “Attack” → “Active Scan”
-
ZAP akan menguji endpoint dan form
5. Cek Hasil di Tab “Alerts”
-
Jika ada potensi CSRF, ZAP akan menandai:
-
“CSRF Vulnerability”
-
“Anti-CSRF token not found”
-
“No validation of CSRF token”
-
⚠️ Apa yang Harus Diperhatikan?
-
ZAP hanya bisa mendeteksi token secara teknis
Artinya: kalau token tidak ada atau selalu sama, dia akan kasih peringatan -
Tapi kamu tetap perlu cek manual apakah token benar-benar divalidasi di server
✅ Tips Tambahan
| Tips | Penjelasan |
|---|---|
| Gunakan di lingkungan testing | Jangan langsung serang situs live/produksi tanpa izin |
| Login manual dulu | Banyak situs hanya menampilkan form setelah login |
| Gunakan mode “Ajax Spider” | Untuk mendeteksi form dinamis atau yang muncul lewat JavaScript |
| Simpan laporan hasil scan | ZAP bisa export laporan dalam format HTML, XML, Markdown, dll. |
🧾 Kesimpulan
OWASP ZAP adalah alat gratis yang sangat berguna untuk mendeteksi CSRF secara otomatis.
Dengan bantuan ZAP, kamu bisa:
🔍 Menemukan form yang tidak punya token
🔐 Memastikan aplikasi kamu aman dari serangan CSRF
Jangan tunggu sampai diserang.
Uji aplikasi kamu sekarang juga — lebih aman, lebih tenang!
Penulias : Muhammad Aditya Alkhawarizmi
Nim : 23156201023
jurusan : Sistem Komputer
