Sissejuhatus CSRF-i?

CSRF, XSRF või saidiülene viide võltsimine on tüüpi rünnak, mis leiab aset veebisaidil, kui pahatahtlik veebisait delegeerib oma taotluse teisele veebisaidile või veebirakendusele, millel on autentitud kasutaja. Seda tüüpi rünnakutel pääseb ründaja ohvri autentitud brauserit kasutades veebisaidile täielikult või osaliselt.

Kuidas see töötab?

  • See töötab ainult siis, kui potentsiaalne ohver on autenditud.
  • Ründaja saab veebisaidile siseneda autentimisprotsessist mööda minnes, kasutades CSRF-i rünnakut.
  • CSRF-i rünnakuid kasutatakse stsenaariumi korral, kus lisaõigustega ohver teeb mõnda toimingut ja teised ei pääse neile toimingutele ligi. Näiteks Interneti-panganduse jaoks.

CSRF-i rünnak viiakse läbi kahes põhiosas

  • Esimene samm on meelitada kasutaja / ohver klõpsama lingil või laadima pahatahtlikku lehte. Ründaja kasutab ohvri peksmiseks sotsiaalset inseneri.
  • Teine samm on ohvri petmine, saates võltsitud taotluse ohvri brauserisse. See link suunab õigustatud ilmega taotlused veebisaidile. Ründajal on ohvri väärtused või üksikasjad, mida ta peab otsima, ohver oleks selle täitnud, arvates, et taotlus on õigustatud. Ründajal on ka üksikasjad ohvri brauseriga seotud küpsiste kohta.

CSRF-i peamised kontseptsioonid

  • Ründaja saadab pahatahtlikud taotlused saidile, kus kasutaja ründajat külastab, uskudes, et ohver on selle konkreetse saidi suhtes heaks kiidetud.
  • Ohvri brauser autenditakse sihtkoha suhtes ja seda kasutatakse pahatahtlike taotluste suunamiseks sihtsaidile.
  • Siin ei ole ohvri brauser ega sellel rakendatud CSRF-i ennetusmeetoditega sait haavatav, peamine haavatavus on mõjutatud veebisait.

Kuidas saab ära hoida saitidevahelist võltsimist (CSRF)?

CSRF-i ennetavaid meetodeid on mitmeid, neist vähe:

  • Logige veebirakendused välja, ilma et sellel töötaksite.
  • Turvaline kasutajanimed ja paroolid.
  • Ärge lubage brauseritel parooli meelde jätta.
  • Kui töötate rakenduses ja olete sinna sisse loginud, vältige sirvimist.

CSRF-i vastased märgid

Kõige levinum rakendus saidiülese päringu võltsimise (CSRF) peatamiseks on valitud kasutajaga seotud žetooni kasutamine, mida võib igas oleku dünaamilises vormis varjatud kujul leida sidusrakenduses.

1. See sümbol, millele viidatakse kui CSRF-i tunnusele, töötab järgmiselt:

  • Klient taotleb HTML-i vormi, millel on vorm.
  • Sellele päringule lisab server kaks märki. See saadab ühe küpsisena ja hoiab teisi žetoone peidetud vormi väljal. Need märgid genereeritakse juhuslikult.
  • Kui vorm on esitatud, saadab klient mõlemad märgid serverisse tagasi. Präänikutunnus saadetakse märgina ja vormiloa vormi sees saadetav vormiluba
  • Kui päringul pole mõlemat päringut, siis server ei vasta päringule või lükkab selle tagasi.

Nüüd peab ründaja, kes üritab taotlust võltsida, ära arvama anti-CSRF-i märgid koos kasutaja autentimisparoolidega. Need märgid muutuvad mõne aja pärast kehtetuks ja kui seanss saab läbi. See muudab ründaja arvama, et märk on raske.

2. Samad saidiküpsised

Päritolu või veebisaidiga on seotud mõned küpsised ja kui päring saadetakse sellele konkreetsele päritolule, saadetakse küpsised koos sellega. Selliseid taotlusi nimetatakse päritoluülesteks taotlusteks. Selle protsessi ajal saadetakse küpsised kolmandatele osapooltele, mis võimaldab CSRF-i rünnakuid.

3. Sama saidi küpsise atribuut

  • CSRF-i rünnakute ärahoidmiseks saab kasutada sama saidi küpsise atribuuti. See keelab kolmanda osapoole konkreetse küpsise kasutamise.
  • Seda teeb server küpsise seadistamise ajal; seejärel nõuab brauser küpsise saatmist ainult siis, kui kasutaja kasutab veebirakendust otse.
  • Kui keegi proovib veebirakenduselt midagi küsida, ei saada brauser küpsist.
  • Kuid hoiab ära CSRF-i rünnaku.

Sellel on piirang, tänapäevastes brauserites sama saidi küpsiseid ei toetata, samas kui sama saidi küpsiseid kasutavaid veebirakendusi vanemad brauserid ei toeta.

CSRF-i näited

Allpool oleme selgitanud mõnda CSRF-i näidet:

1. GET-päringute kasutamine:

Oletame, et olete installinud ja kujundanud veebisaidi banking.com selliste toimingute tegemiseks nagu veebitehingud, kasutades GET-päringuid. Nüüd võib kasutada tark ründaja, kes oskab pahatahtlikku URL-i koostada Elemendi abil saate brauseri lehe vaikselt laadida

Näide HTML-i pildielemendist, mis sisaldab pahatahtlikku URL-i:

2. Sama tegemiseks saab kasutada ühte alltoodud tehnikat:

  • HTML-sisuga meilisõnumi saatmine
  • Istutades skripti või pahatahtliku URL-i lehtedele, mida kasutaja tõenäoliselt veebitehingute tegemise ajal külastab.

3. POST-päringute kasutamine

HTTP POST-päringute kohta on üldiselt ekslik arusaam, et CSRF-i rünnakuid saab ära hoida HTTP POST-taotluste lubamisega, mis tegelikult ei vasta tõele. Ründaja saab HTML-i või JavaScripti abil vormi luua ja kasutada automaatse edastamise funktsiooni POST-i päringu esitamiseks, ilma et kasutaja peaks klõpsama esitamisnupul.

Järeldus

Küpsised on haavatavad, kuna need saadetakse koos päringuga automaatselt, mis võimaldab ründajatel rakendada CSRF-i ja saata pahatahtlikke taotlusi. CSRF-i haavatavuse mõju sõltub ka ohvri privileegidest, kelle küpsis saadetakse ründaja taotlusega. Kuigi andmete otsimine ei ole CSRF-i rünnaku peamine ulatus, mõjutavad oleku muudatused kindlasti kahjustatavat veebirakendust. Seega on soovitatav takistada oma veebisaidil ennetavate meetodite kasutamist, et kaitsta oma veebisaiti CSRF-i eest.

Soovitatavad artiklid

See on juhend sellest, mis on CSRF. Siin arutasime võtmekontseptsiooni, anti-CSRF-märgid, selle töö ja CSRF-i näidete üle. Lisateavet leiate ka meie muudest soovitatud artiklitest -

  1. Mis on Java hibernate?
  2. Mis on ASP.NET?
  3. Mis on AWS Lambda?
  4. Mis on XHTML?

Kategooria:

Tarkvaraarendus