Комментарии: Уязвимость CSRF. Защита

Автор: Алексей

Алексей — Thu, 23 Apr 2020 19:28:20 +0000

В ответ на Андрей.

Как ты спарсишь если у каждого пользователя разные токен? бывает что токен генерируется в момент вывода формы пользователю и пишется ему в сессию, спасет только распарсивание формы на стороне посетителя — а это не возможно.

есть кстати более простые способы защитится правильно настроив сервер, но только один сайт из 100 тыс это делает.

Автор: Алексей

Алексей — Thu, 23 Apr 2020 19:13:45 +0000

В ответ на Дмитрий Амиров. Например Auth http не требует включенных кук. а в html5 отключить передачу реферера можно без использования javascript.

Автор: Дмитрий Амиров

Дмитрий Амиров — Wed, 09 Nov 2016 14:58:30 +0000

В ответ на Андрей.

Вы видимо невнимательно читали о том в чем заключается сама атака. У злоумышленника нет возможности спарсить токен. Токен для каждого пользователя уникален.

Повторный вод пароля — защита от других проблем.

Автор: Андрей

Андрей — Wed, 09 Nov 2016 12:36:41 +0000

В ответ на Дмитрий Амиров.

Парсим одну из страниц на сайте вытягиваем токен и следующим шагом отправляемм на нужную команду уже с токеном.
В чем защита?

А я то думаю почему некоторые сервисы иногда просят ввести пароль при совершении важных операций, вот это защита.

Автор: Дмитрий Амиров

Дмитрий Амиров — Wed, 12 Oct 2016 08:28:49 +0000

В ответ на Дмитрий. Злоумышленник не парсит целевую страницу, и ничего не знает о ее содержимом. На целевую страницу пользователь лишь перенаправляется злоумышленником. А так как злоумышленник не знает токен, он не может перенаправить на правильный адрес с токеном.

Автор: Дмитрий

Дмитрий — Wed, 12 Oct 2016 05:46:08 +0000

Добрый день. Подскажите, как токены, прописанные в коде страницы, защищают от csrf? Почему злоумышоенник не сможет спарсить сам токен и передать в post запросе?

Автор: Utka

Utka — Wed, 20 May 2015 18:21:57 +0000

В ответ на Дмитрий Амиров. Спасибо )

Автор: Дмитрий Амиров

Дмитрий Амиров — Wed, 20 May 2015 16:53:08 +0000

В ответ на Utka. Ну хранение токена в куке - вещь не принципиальная. Это просто проще чем хранить его в базе. Обратите внимание я писал:

Один из самых простых и надежных...

Можно хранить его и в базе. В принципе пофиг абсолютно... Можно и не хранить его вообще нигде, а генерировать на основе уникальных данных юзера, и какой нибудь секретной серверной соли. Вариантов то масса, в статье указан единственный из них :)

Автор: Utka

Utka — Wed, 20 May 2015 11:53:37 +0000

Один из самых простых и надежных примеров реализации — токен генерируется при каждом запросе новый и устанавливается в cookies пользователя а также добавляется в параметры форм и ссылок на странице:

Все правильно, защиту нужно делать только токеном, но за чем каждый раз генерировать новый токен и класть его в куку?

Можно создать уникальный хэш для каждого пользователя при авторизации и отправлять его с постом, а уже на сервере сравнивать из базы этот хэш с тем что пришел в посте. Важно здесь только чтобы ключ был уникальным для каждой сессии авторизации. Или я не прав?

Просто не пойму на кой в куках хранить не нужные вещи?

Автор: Михаил

Михаил — Thu, 14 May 2015 08:25:35 +0000

Спасибо!