Słów klika o CSRF
CSRF (Cross-Site Request Forgery, nazywane również: XSRF, session riding czy one-click attack) należy do jednej z najmniej rozumianych podatności na ataki. Często jest mylona jest z podatnością XSS, czasem również prezentowana jednocześnie z innymi podatnościami, co też mylnie obrazuje istotę problemu.
Zatem na czym polega podatność na ataki CSRF? Wg definicji OWASP jest to:
A CSRF attack forces a logged-on victim’s browser to send a forged HTTP request, including the victim’s session cookie and any other automatically included authentication information, to a vulnerable web application. This allows the attacker to force the victim’s browser to generate requests the vulnerable application thinks are legitimate requests from the victim.
Tłumacząc definicję na język polski możemy powiedzieć, że atak CSRF zmusza zalogowaną przeglądarkę ofiary do wysłania sfałszowanego żądania HTTP, w tym pliku cookie sesji ofiary i wszelkich innych automatycznie włączonych informacji uwierzytelniających, do podatnej aplikacji internetowej. Pozwala to atakującemu zmusić przeglądarkę użytkownika do generowania żądań, które wrażliwa aplikacja uważa za słuszne żądania ofiary. Celem crackera jest wykorzystanie uprawnień danego użytkownika do wykonania operacji w przeciwnym razie wymagających jej zgody. Błąd typu CSRF dotyczy również serwerów FTP.
System jak i przeglądarka ofiary nie są w żaden sposób trwale modyfikowane w przypadku CSRF. Wykorzystana jest tylko pewna właściwość architektury web i przeglądarek internetowych.
Charakterystyka ataków CSRF:
Atak bierze za cel skłonienie użytkownika zalogowanego do serwisu internetowego, aby uruchomił on odnośnik, podczas jego otwarcia wykona w danym serwisie akcję, do której atakujący nie miałby w żadnym razie dostępu. Przykład: użytkownik Jaś, który na stałe zalogowany jest do pewnego forum internetowego, może w pewnym momencie otworzyć spreparowany przez Michała link, który zmieni dane kontaktowe Jasia albo usunie jakiś wątek dyskusji. Jako link może także posłużyć obrazek, którego adres został odpowiednio przygotowany, a konsekwencje wykonanej akcji mogą być bardziej poważniejsze.
Poniżej znajdują się cechy wymieniane w Wikipedii charakteryzujące atak CSRF:
• Dotyczy serwisu wymagającego zalogowania lub innego ograniczenia np. dostępu tylko z sieci wewnętrznej lub określonej puli adresów IP,
• Wykorzystuje zaufanie serwisu do tożsamości zalogowanego użytkownika,
• Podstępem nakłania przeglądarkę internetową do wysłania żądania HTTP do serwisu,
• Dotyczy żądania zmieniającego stan konta użytkownika lub wykonującego w jego imieniu operację.
Na ten atak szczególnie podatne są aplikacje webowe, wykonujące żądania przesłane przez zalogowanych użytkowników bez autoryzacji konkretnej akcji. Uwierzytelniony użytkownik na podstawie ciasteczka zapisanego w przeglądarce może nieświadomie wysłać żądanie HTTP do serwera, który jej ufa i zapoczątkuje wykonanie niepożądanej akcji w jego imieniu.
Jeśli nie udało mi się zaspokoić Waszej wiedzy krótkim zarysem na temat ataków CSRF w tym wpisie, skontaktujcie się z nami w celu skorzystania z wybranej przez Was metody nauczania jakie oferujemy na naszej platformie. Chętnie przekażemy Wam wiedzę w szerszym zakresie na temat ataków CSRF oraz jak im przeciwdziałać. Materiały szkoleniowe przygotowujemy zawsze tak, abyście byli zadowoleni z jakości przedstawianego problemu.
Produktywny programista - 6 dobrych nawyków
Czy istnieje jakiś sposób, aby zawsze pracować efektywnie? Pomocne może się tu okazać wprowadzenie do swojego życia kilka istotnych nawyków, o których więcej dowiesz się w tym poście.
Poznawaj z Vi - PHP
Kolejny post z cyklu "Poznawaj z Vi". Tym razem zajmiemy się kolejnym językiem programowania, którym jest PHP.
Klucz do kariery? Jak napisać skuteczne CV programisty? Cz. 2
Druga część posta dotycząca CV w dziale IT. Zawiera kilka dodatkowych informacji odnośnie przejrzystości oraz tego, co w CV powinno się znaleźć.