Cross-site request hamisítás - nagy a zaj semmiért
Gordey ptsecurity @ com
kitérő
Először is, szeretném kiemelni a fő téveszmék kapcsolatos CSRF:
1. HTTP-kérés hamisítás - új típusú biztonsági rést.
2. CSRF - egy változata XSS (XSS).
3. A biztonsági rés CSRF ritka és meglehetősen bonyolult a használata.
Nyert adatok Pozitív Technologies in Progress behatolási tesztelők és biztonsági értékelését web-alapú alkalmazások azt mutatják, hogy ez a biztonsági rés van kitéve a legtöbb web-alapú alkalmazások. Eltérően más CSRF rés nem fordulhat elő, ha a programozási hiba, és ez a normális viselkedés a Web-szerver és a böngésző. Ie A legtöbb helyszíneken, hogy a szabványos architektúrán veszélyeztetett „alapértelmezés”.
Alkalmazási példa
Ábra. 1. Egy üzenet küldése
Ábra. 2. Támadás CSRF
Ábra. 3. A logika CSRF
nem szükséges, hogy a web-szerver operációs CSRF támadók. Oldal kezdeményező kérelmet lehet küldeni e-mailben vagy más módon.
Remélem, hogy most már az olvasó megértse az alapvető különbség a CSRF XSS. Abban az esetben, XSS a támadó hozzáférést nyer a DOM (Document Object Model) sebezhető lap, hogyan kell olvasni és írni. Amikor végez CSRF atakuschy képes továbbítja a kérést a szerver segítségével a felhasználó böngészőjének, de beszerzése és elemezze a szerver válaszát, és különösen annak címét (pl Cookie) nem lesz képes. Ennek megfelelően a „Hamis HTTP-kérés” lehetővé teszi, hogy működjön együtt a kérelmet a „write-only”, ami egyébként teljesen elegendő ahhoz, hogy a tényleges támadások.
A fő cél a CSRF-támadások a különböző interaktív web-alapú alkalmazások, mint például az e-mail rendszer, fórumok, CMS, távoli menedzsment a hálózati berendezések interfészek. Például, a támadó üzeneteket küldhet nevében más felhasználókat, új számlák, vagy változtatni a router beállításait a webes felületen.
Ábra. 4. példa CSRF művelet fórum
áttörni a kerülete
- típusának meghatározásában web-alapú alkalmazások (ujjlenyomat);
- jelszó kiválasztása és hitelesítés után CSRF;
- megváltoztatni csomópont beállításoknak CSRF támadást.
Meghatározása után a készülék típusát a támadó próbálja meg a felhasználó böngészőjének közvetlenül küld egy kérést, hogy módosítsa a beállításokat. Azonban egy ilyen kérelem csak akkor lesz sikeres, ha a felhasználó böngészőjének már aktív ülésén a hitelesített készülék. Ahhoz, hogy a kezét egy nyitott router kezelési oldalán - a rossz szokása, hogy sok „haladó” felhasználók számára.
De más bruzery, mint például a Firefox lehetőséget adni egy felhasználónevet és jelszót az URL, és fel lehet használni a hitelesítést minden szerver, és lehet tenni anélkül, hogy egy hibaüzenet, ha kiválasztja a megfelelő jelszót.
Minta script „csendes” Basic azonosítás módját Stefan Esser blog alább látható.
Firefox HTTP Auth BruteforcingÁbra. 5. Alapvető hitelesítés Firefoxban
A vállalati környezetben, ahol az egyszeri mechanizmusok gyakran használják például alapján egy Active Directory tartomány és a Kerberos és NTLM művelet CSRF nem igényel külön erőfeszítést. A böngésző automatikusan át hitelesítés keretében az aktuális felhasználó biztonságát.
védelmi módszereket
Ez a mechanizmus azonban számos hátránya van. Először is - a fejlesztő felveti a kérelmek feldolgozásának nélkül Referer fejléc, mint olyat. Sok személyi tűzfal és anonimizáló proxy-szerverek vágott Referer, mint egy potenciálisan veszélyes fejlécet. Ennek megfelelően, ha a kiszolgáló figyelmen kívül hagyja az ilyen kéréseket, a csoport legtöbb „paranoid” gondolkodó állampolgárok nem lesz képes dolgozni vele.
Egy további fejlesztése ez a megközelítés az, hogy a munkamenet azonosító nem egy cookie, egy rejtett paraméter alakja (például Viewstate).
A módszer ellensúlyozva CSRF alkalmazhat különböző kiviteli alakjait a Turing-teszt, például, minden kép jól ismert - CAPTCHA. Egy másik népszerű lehetőség, hogy szükség van, hogy adja meg a felhasználó jelszavát, ha megváltoztatja a kritikus beállításokat.
Ábra. 7. elleni védelem CSRF a mail.ru
Így Cross-Site Request Hamisítás támadás irányul a Web-kliens alkalmazások, valamint a kellő használatával HTTP-kérés forrása. Hogy megvédje az ilyen támadás használhat további forrása a kérelem vezérlést a fejléc Referer vagy további „random” paraméter.
