SORU
20 HAZİRAN 2011, PAZARTESİ


Giriş formları CSRF saldırılarına karşı belirteçleri ihtiyacınız var mı?

Şimdiye kadar öğrendiklerime göre, belirteçleri amacı bir form gönderme dövme, bir saldırganın önlemek için.

Eğer bir web sitesi, bir form olsaydı örneğin, bu giriş alışveriş sepeti öğeleri için eklendi, ve bir saldırgan istemediğiniz öğeleri ile alışveriş sepeti spam olabilir.

Bu alışveriş sepeti form için birden çok geçerli girişleri, saldırganın yapacağı tek şey web satan bir madde biliyor olabilir çünkü mantıklı.

Ben simgeleri nasıl çalıştığını anlamak ve onlar kullanıcı aslında dolu olduğundan emin olun, çünkü bu durumda güvenlik eklemek ve "" her madde için form düğmesi sepete eklendi. Submit basıldığında

Ancak, nişan kullanıcı adı ve şifre gerekli olan kullanıcı giriş formu, herhangi bir güvenlik Ekle?

Beri kullanıcı adı ve şifre çok benzersiz saldırgan olur ve ikimiz de biliyoruz için oturum sahteciliği işten (bile yoktu belirteçleri kur), ve eğer bir saldırgan zaten biliyordu, o sadece işareti üzerine web sitesi kendisi. Söz değil, kullanıcının kendini günlük kılan CSRF saldırısı herhangi bir pratik amaç zaten olmazdı.

CSRF saldırıları ve belirteçleri benim anlayış doğru mu? Ve ben şüpheli olarak kullanıcı giriş formları için işe yaramaz?

CEVAP
11 Mart 2013, PAZARTESİ


Evet. Genel olarak, sadece herhangi bir diğer olarak CSRF saldırılarından giriş formları güvenli.

Aksi halde siteniz "etki alanı kimlik avı" saldırı. güvenilir bir nevi açıktır Kısacası, CSRF-savunmasız bir oturum açma sayfasında kullanıcı paylaşmak için bir saldırganın kurbanı hesabı sağlar.

Bu güvenlik açığı, bu gibi dışarı çalar

  1. Saldırgan bir ana güvenilen etki alanı hesabı oluşturur
  2. Saldırganın bu ana hesap kimlik bilgileri ile kurbanın tarayıcısında oturum açma isteği yaratıyor
  3. Saldırgan hesabı üzerinden giriş yapmış olduklarını fark olmayabilir nerede güvenilir site, kullanarak kurban hileler
  4. Saldırgan şu anda herhangi bir veri erişimi ya da kurban "" tarayıcı giriş yaparken (bilerek veya bilmeyerek) ana hesap . oluşturulan meta

Konuyla ilgili bir örnek olarak, YouTube düşünün. YouTube kullanıcıları kaydını görmek için izin "kendi" tarih görüntüleme ve giriş formlarını CSRF-savunmasız! Sonuç olarak, bir saldırganın bir şifre ile bir hesap kurmak içinonlarbiliyordu, YouTube kullanarak kurbanın günlüğübuhesap — kurban izliyordu ne takip.

Bu" Gizlilik ihlali için kullanılan "sadece olabilir anlamına gelir this comment thread bazı tartışma var Belki de, ama Wikipedia's CSRF article: Bölüm alıntı

Oturum CSRF çeşitli Roman saldırıları mümkün; örneğin, bir yapar saldırgan, daha sonra onun meşru kimlik bilgileri ile siteye giriş yapabilirsiniz ve etkinlik gibi özel bilgileri görüntülemek kaydedilen tarih hesabın içinde.

Vurgu, "yeni saldırılar". Kullanıcılarınız karşı sahte bir saldırı etkisini hayal edin ve düşünün sonra saldırı kullanıcı sitenizi kendi güvenilir yer imi ile çalışan Kimlik Avı! " dedi. Gazete söz konusu yorum iplik bağlantılı basit gizlilik saldırıları ötesinde çeşitli örnekler verir.

Bunu Paylaş:
  • Google+
  • E-Posta
Etiketler:

YORUMLAR

SPONSOR VİDEO

Rastgele Yazarlar

  • AndyMcMillinTV

    AndyMcMillin

    6 HAZİRAN 2007
  • Jason Parker

    Jason Parker

    14 Aralık 2009
  • TastyTuts | Creative video tutorials by Gareth David

    TastyTuts |

    6 Temmuz 2011