“Klik Sekali, Akun Hilang!” — Mengenal Serangan CSRF

Pernah dengar ada orang kehilangan uang hanya karena klik link di internet? Bisa jadi mereka terkena serangan yang namanya CSRF (Cross-Site Request Forgery). Yuk, kita bahas dengan bahasa yang santai dan mudah!

🔍 Apa Itu CSRF?

CSRF adalah jenis serangan siber yang membuat kamu melakukan sesuatu di website (seperti transfer uang atau ubah password) tanpa kamu sadar. Serangan ini bekerja karena kamu masih dalam keadaan login di situs tersebut.

Misalnya:
Kamu login di situs bank, lalu buka situs lain yang tidak aman. Di sana ternyata ada kode tersembunyi yang menyuruh browser kamu mengirim uang ke rekening penyerang. Karena kamu masih login, permintaan itu dianggap sah oleh bank!

🧠 Bagaimana Cara Kerja CSRF?

Mari kita ibaratkan:

  1. Kamu buka dan login di www.bankku.com.

  2. Setelah itu, kamu buka tab baru dan kunjungi blog atau forum.

  3. Di blog itu ada gambar palsu seperti ini:

    html
    <img src="https://www.bankku.com/transfer?ke=12345&jumlah=1000000">

  4. Karena kamu masih login, browser langsung mengirim permintaan ke bank.

  5. Tanpa kamu sadari, uang sudah terkirim ke rekening orang lain!

💥 Bahaya CSRF

CSRF bisa sangat berbahaya. Beberapa hal yang bisa terjadi:

  • 💸 Kirim uang ke orang lain tanpa izin

  • 🔒 Password kamu diganti

  • 🧹 Data penting kamu dihapus

  • 👑 Admin website kehilangan akses

  • 📉 Kerugian besar untuk pengguna dan pemilik website

🛡️ Cara Mencegah CSRF

Tenang, CSRF bisa dicegah! Ini beberapa cara:

  1. Gunakan CSRF Token
    Token ini seperti kode rahasia yang hanya diketahui website dan pengguna. Biasanya ditaruh di form (formulir) pengisian data.

  2. Atur Cookie dengan “SameSite”
    Cookie login disetting supaya tidak bisa dikirim dari website lain, jadi lebih aman.

  3. Cek Referer atau Origin
    Website bisa cek apakah permintaan datang dari halaman yang sah atau tidak.

  4. Jangan Gunakan GET untuk Aksi Penting
    Gunakan metode POST atau PUT untuk hal sensitif seperti menghapus data atau transaksi.

  5. Pakai Framework yang Sudah Aman
    Banyak framework web (seperti Laravel, Django, dan Express) sudah punya perlindungan CSRF bawaan. Tinggal aktifkan saja!

✅ Kesimpulan

CSRF itu serangan diam-diam yang bisa sangat merugikan. Cukup satu klik di tempat yang salah, dan kamu bisa kehilangan akun atau uang.

Maka dari itu:

  • Sebagai pengguna, hati-hati saat klik tautan dari email atau situs yang tidak dikenal.

  • Sebagai pembuat website, pastikan aplikasimu punya perlindungan CSRF!

  • “Lebih baik mencegah daripada kena serangan dan menyesal di kemudian hari.” 💻🔐

Penulis : Muhammad Aditya Alkhawarizmi

Nim : 23156201023

Jurusan : Sistem komputer