Bevezetés a CSRF-be?

A CSRF, az XSRF vagy a webhelyek közötti hamisítás egy olyan támadás típusa, amely akkor fordul elő egy webhelyen, amikor egy rosszindulatú weboldal egy másik webhelyre vagy alkalmazásra delegálja kérését, amelynek hitelesített felhasználója van. Az ilyen típusú támadások során az áldozat hitelesített böngészőjével a támadó teljes vagy részleges hozzáférést biztosít a webhelyhez.

Hogyan működik?

  • Csak akkor működik, ha a potenciális áldozat hitelesítve van.
  • A támadó beléphet egy weboldalra a hitelesítési folyamat megkerülésével, egy CSRF-támadással.
  • A CSRF támadások akkor kerülnek alkalmazásra, amikor a kiegészítő jogokkal rendelkező áldozatok valamilyen műveletet hajtanak végre, mások pedig nem tudnak hozzáférni ezekhez a műveletekhez. Például az online banki szolgáltatásokhoz.

A CSRF Attack két fő részben hajtódik végre

  • Az első lépés a felhasználó / áldozat vonzása egy linkre kattintásra vagy egy rosszindulatú oldal betöltésére. A támadó a szociális mérnököt használja az áldozat becsapására.
  • A második lépés az áldozat becsapása hamis kérelem küldésével az áldozat böngészőjébe. Ez a link átirányítja a törvényes megjelenésű kéréseket egy weboldalra. A támadó megkapja az áldozat értékeit vagy részleteit, amelyeket meg kell keresnie; az áldozat kitöltötte volna azt, gondolva, hogy a kérés legitim. A támadónak rendelkeznie kell az áldozat böngészőjével társított sütik részleteivel is.

A CSRF kulcsfogalmai

  • A támadó rosszindulatú kéréseket küld egy olyan webhelyre, ahol a felhasználó meglátogat egy támadót, és úgy véli, hogy az áldozat érvényesül az adott webhely ellen.
  • Az áldozat böngészője a céloldalhoz hitelesítve van, és a rosszindulatú kéréseknek a célhelyre történő irányításához használják.
  • Itt az áldozat böngészője vagy egy olyan webhely, amelyen a CSRF megelőző módszereit alkalmazzák, nem sebezhetők, az érintett webhely a fő sebezhetőség.

Hogyan lehet megelőzni a webhelyek közötti kérelem-hamisítást (CSRF)?

Számos CSRF-megelőző módszer létezik, ezek közül néhány:

  • Jelentkezzen ki a webalkalmazásokból, miközben nem dolgozik rajta.
  • Biztosítsa felhasználóneveit és jelszavait.
  • Ne engedje, hogy a böngészők emlékezzenek a jelszóra.
  • Miközben egy alkalmazásban dolgozik, és be van jelentkezve, kerülje a böngészést.

Anti-CSRF tokenek

A webhelyek közötti kérelem-hamisítás (CSRF) leállításához a leggyakoribb token használata, amely egy kiválasztott felhasználóhoz kapcsolódik, és rejtett formában található meg az online alkalmazás minden egyes állapotában, dinamikus formájában.

1. Ez a CSRF tokennek nevezett token a következőképpen működik:

  • Az ügyfél HTML formátumú oldalt kér.
  • A kérés válaszában a szerver két tokent csatol. Küld egy cookie-ként, és a többi tokent rejtett űrlapmezőben tartja. Ezeket a tokeneket véletlenszerűen generálják.
  • Az ügyfél mindkettőt visszajuttatja a szervernek, miután benyújtotta az űrlapot. A cookie-tokent tokenként, az űrlap-token az űrlapadaton belül kerül elküldésre
  • A szerver nem válaszol, vagy elutasítja a kérést, ha a kérelemnek nincs mindkét kérése.

A támadónak, aki megkísérel hamisítani a kérést, kitalálnia kell az anti-CSRF tokeneket és a felhasználó hitelesítési jelszavait. Ezeket a tokeneket érvénytelenítik egy idő után, és a munkamenet vége után. Ez megtámadja a támadót a jelzőt.

2. Ugyanaz a webhely süti

Vannak olyan sütik, amelyek egy származási helyhez vagy webhelyhez vannak társítva, és amikor egy kérést küldünk az adott származási helyre, akkor a cookie-kat együtt küldjük el. Az ilyen kérelmeket származásközi kéréseknek nevezzük. A folyamat közben a sütik harmadik feleknek kerülnek elküldésre, ami lehetővé teszi a CSRF támadásokat.

3. Ugyanaz a webhely cookie-attribútuma

  • A CSRF támadások megakadályozására ugyanaz a webhely-süti-attribútum használható. Letiltja a harmadik féltől származó felhasználást egy adott süti számára.
  • Ezt a szerver végzi el a süti beállítása közben; ezután arra kéri a böngészőt, hogy csak akkor küldje el a sütiket, ha a felhasználó közvetlenül használja az internetes alkalmazást.
  • Most, ha valaki megkérdezik valamit a webalkalmazásból, a böngésző nem küldi el a sütiket.
  • Ugyanakkor megakadályozza a CSRF támadást.

Ennek korlátozása van, ugyanazon webhely cookie-jait a modern böngészők nem támogatják, míg az ugyanazon webhely cookie-jait használó webes alkalmazásokat a régi böngészők nem támogatják.

Példák a CSRF-re

Az alábbiakban néhány CSRF-példát ismertetünk:

1. A GET kérések használata:

Tegyük fel, hogy létrehozta és megtervezte a banks.com webhelyet olyan műveletek végrehajtására, mint például online tranzakciók a GET kérések felhasználásával. Most egy okos támadó használhatja a rosszindulatú URL-eket elem, hogy a böngésző csendesen betöltse az oldalt

Példa egy rosszindulatú URL-t tartalmazó HTML kép elemre:

2. Az alábbiakban felsorolt ​​technikák egyikével ugyanezt lehet végrehajtani:

  • HTML-tartalommal rendelkező e-mail küldésével
  • Azáltal, hogy szkriptet vagy rosszindulatú URL-t ültet azokra az oldalakra, amelyeket a felhasználó valószínűleg meglátogat, miközben online tranzakciókat végez.

3. A POST kérések használata

Általános tévhit van a HTTP POST kérésekkel kapcsolatban, hogy a CSRF támadások megakadályozhatók a HTTP POST kérések engedélyezésével, ami valójában nem igaz. A támadó HTML vagy JavaScript használatával létrehozhat egy űrlapot, és az automatikus benyújtás funkcióval felhasználhatja a POST kérés elküldését anélkül, hogy a felhasználót a benyújtás gombra kattintaná.

Következtetés

A sütik sebezhetők, mivel automatikusan elküldik őket a kéréssel, amely lehetővé teszi a támadók számára a CSRF megvalósítását és a rosszindulatú kérések küldését. A CSRF sebezhetőségének hatása az áldozat kiváltságaitól is függ, akinek a sütiket a támadó kérésére küldik el. Noha az adatok visszakeresése nem a CSRF-támadás fő köre, az állapotváltozások minden bizonnyal káros hatással lesznek a kiaknázott webes alkalmazásokra. Ezért tanácsos megakadályozni, hogy webhelye megelőző módszereket alkalmazzon webhelye CSRF elleni védelmére.

Ajánlott cikkek

Ez egy útmutató a CSRF-hez. Itt megvitattuk a kulcskoncepciót, az anti-CSRF tokeneket, annak működését és a CSRF példáit. A további javasolt cikkeken keresztül további információkat is megtudhat -

  1. Mi a Java Hibernate?
  2. Mi az ASP.NET?
  3. Mi az AWS Lambda?
  4. Mi az XHTML?

Kategória:

Szoftverfejlesztés