Cross Site Request Forgery, или CSRF, является атакой, которая осуществляется в тот момент, когда вредоносный сайт, письмо, сообщение, приложение или что-либо иное заставляет браузер пользователя выполнить некоторые действия на другом сайте, где этот пользователь уже аутентифицирован. Зачастую это происходит без ведома пользователя.
Вред от CSRF-атаки зависит от сайта, принимающего действие. Вот пример:
Еще более интересна ситуация, когда ссылка на вредоносный
сайт может содержаться в валидном HTML, благодаря чему Бо-
бу даже не придется нажимать на ссылку: . Если устройство Боба (например, браузер) отрису-
ет это изображение, оно сделает запрос к malicious_site.com и потенциально совершит CSRF-атаку.
Теперь, зная об опасностях, которые несут CSRF-атаки, вы можете защититься от них множеством способов, самым популярным из которых, возможно, является использование CSRFтокена, который должен отправляться с любым запросом, который потенциально может изменять данные (например, с POST-запросами). Веб-приложение (такое, как онлайн-банк Боба) должно будет сгенерировать токен, состоящий из двух частей, одну из которых получит Боб, а вторая будет сохранена в приложении.
Когда Боб попытается совершить запрос на перевод денег, он должен будет отправить токен, который будет проверен банком на валидность при помощи токена, хранящегося в приложении.
Теперь, когда мы знаем о CSRF и CSRF-токенах, Cross Origin Resource Sharing (CORS) становится более понятным, хотя возможно, я просто заметил это по мере исследования новых целей. В общем, CORS ограничивает список ресурсов, которые могут получать доступ к данным. Другими словами, когда CORS используется для защиты сайта, вы можете написать Javascript для вызова целевого приложения, прочитать ответ и сделать другой вызов, если целевой сайт вам это позволяет.
Если это кажется непонятным, то попробуйте с помощью Javascript сделать вызов к HackerOne.com/activity.json, прочитать ответ и сделать второй вызов. Вы также увидите важность этого и потенциальные способы обхода в примере #3 ниже.
Наконец, важно заметить (спасибо Джоберту Абме за указание на этот момент), что не каждый запрос без CSRF-токена является невалидным. Некоторые сайты могут выполнять дополнительные проверки, такие, как сравнение заголовка исходящей стороны (хотя это не является гарантией безопасности и есть известные случаи обхода). Это поле, которое идентифицирует адрес страницы, которая ссылается на запрашиваемый ресурс. Другими словами, если исходящая сторона (реферер)
выполняет POST-вызов не с того же сайта, который получил HTTP-запрос, сайт может не позволить вызову достигнуть того же эффекта, что достигается с использованием CSRFтокена. Кроме того, не каждый сайт использует терми csrf при создании или определении токена. Например, на Badoo это параметр rt, как описано ниже.
Прочтите руководство по тестированию на OWASP Testing for CSRF
Примеры 1. Экспорт установленных пользователей ShopifyСложность: Низкая
Url: https://app.shopify.com/services/partners/api_clients/XXXX/export_installed_users
Описание:
API Shopify предоставляет эндпоинт для экспорта списка установленных пользователей через URL, показанный выше. Уязвимость заключалась в том, что сайт мог сделать запрос к этому эндпоинту и получить в ответ информацию, поскольку
Shopify не использовал CSRF-токен для валидации этого запроса. В результате, следующий HTML-код мог быть использован для отправки формы от имени ничего не подозревающей жертвы.
1 2 csrf 3 4 7 8 9
В этом примере при простом посещении страницы Javascript отправляет форму, которая включает GET-запрос к API Shopify, используя cookie Shopify, установленные в браузере жертвы.
ВыводыУвеличивайте масштаб ваших атак и ищите баги не только на сайте, но и в API. Эндпоинты API также являются потенциальной площадкой для использования уязвимостей, так что стоит помнить об этом, особенно, если вы знаете, что API мог быть разработан или стать доступным после того, как был создан веб-интерфейс.
2. Отключение Shopify от TwitterСложность: Низкая
Url: https://twitter-commerce.shopifyapps.com/auth/twitter/disconnect
Shopify предоставляет интеграцию с Twitter, что позволяет владельцам магазинов постить твиты о своих продуктах. Подобным образом сервис позволяет и отключить аккаунт Twitter от связанного магазина.
URL для отключения аккаунта Twitter от магазина указан выше. При совершении запроса Shopify не валидировал CSRFтокен, что позволило злоумышленнику создать фальшивую ссылку, клик на которую приведет ничего не подозревающего владельца магазина к отключению его магазина от Twitter.
Описывая уязвимость, WeSecureApp предоставил следующий пример уязвимого запроса обратите внимание, что использование тега img делает вызов к уязвимому URL:
1 GET /auth/twitter/disconnect HTTP/1.1 2 Host: twitter-commerce.shopifyapps.com 3 User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.1 4 1; rv:43.0) Gecko/20100101 Firefox/43.0 5 Accept: text/html, application/xhtml+xml, application/x 6 ml 7 Accept-Language: en-US,en;q=0.5 8 Accept-Encoding: gzip, deflate 9 Referer: https://twitter-commerce.shopifyapps.com/accou 10 nt 11 Cookie: _twitter-commerce_session=REDACTED 12 >Connection: keep-alive
Поскольку браузер выполняет GET-запрос для получения изображения по переданному URL и CSRF-токен не валидируется, пользовательский магазин теперь отключен:
1
2
3
5
6
В этой ситуации, описанная уязвимость могла быть найдена при использовании проксисервера, такого, как Burp или Firefox Tamper Data, достаточно было взглянуть на запрос, отправляемый к Shopify и увидеть, что этот запрос был осуществлен с помощью GET-запроса. Поскольку это было разрушительное действие и GETзапросы не должны изменять данные на сервер, это стоит исследовать.
3. Полный захват аккаунта на BadooСложность: Средняя
Url: https://badoo.com
Ссылка на отчет: https://hackerone.com/reports/12770312
Дата отчета: 1 апреля 2016
Выплаченное вознаграждение: $852
Описание:
Если вы взглянете на Badoo, выпоймете, что они защищаются от CSRF включением в URL параметра rt, который имеет длину всего в 5 символов (по крайней мере, на момент написания). Хотя я заметил это, когда Badoo запустил кампанию на HackerOne, я не нашел способа это использовать. Однако, Махмуд Джамал (zombiehelp54) нашел.
Поняв значение параметра rt, он также заметил, что параметр возвращался в почти всех json-ответах. К сожалению, это не принесло пользы, поскольку CORS защищает Badoo от атак, читая эти ответы. Махмуд продолжил искать.
Оказалось, что файл https://eu1.badoo.com/worker-scope/chrome-ser содержит значение rt. Еще лучше было то, что этот файл
мог быть произвольно прочитан атакующим и не требовал от
жертвы никаких действий кроме посещения вредоносной веб-страницы. Вот код, который он предоставил:
1 2 3 Badoo account take over 4 6 7 8 9 function getCSRFcode(str) { 10 return str.split(’=’); 11 } 12 window.onload = function(){ 13 var csrf_code = getCSRFcode(url_stats); 14 csrf_url = ’https://eu1.badoo.com/google/verify.phtml?c 15 ode=4/nprfspM3yfn2SFUBear08KQaXo609JkArgoju1gZ6Pc&authu 16 ser=3&session_state=7cb17 4b560..a810&prompt=none&rt=’+ csrf_code; 18 window.location = csrf_url; 19 }; 20
В общем, когда жертва загружала страницу, она делала запрос к скрипту Badoo, забирала параметр rt для этого пользователя и затем делала запрос от имени жертвы. В этом случае, это было связывание аккаунта Махмуда с аккаунтом жертвы, что позволяло полностью захватить аккаунт.
ВыводыГде дым, там и огонь, Здесь Махмуд заметил, что параметр rt возвращался в разных местах, в конкретных json-ответах. Поэтому он правильно предположил, что он может быть показан где-то, где его можно будет использовать в этом случае в js файле.
ИтогиCSRF-атаки представляют другой опасный вектор для атак и могут быть быть выполнены без активных действий со стороны жертвы или вообще без её уведомления. Обнаружение CSRF-уязвимостей требует некоторой изобретательности и, опять же, желания тестировать все подряд.
Как правило, формы стандартно защищены фреймворками вроде Rails если сайт выполняет POST-запрос, но API могут
быть отдельной историей. Например, Shopify написан в основном на основе фреймворка Ruby on Rails, который предоставляет защиту от CSRF-атак для всех форм по умолчанию (хотя её и можно отключить). Однако, очевидно, что это не обязательно так для API, созданных с помощью этого фреймворка. Наконец, обращайте внимание на вызовы, которые изменяют данные на сервере (такие, как действие удаления) и выполняются с помощью GET-запроса.
Поиск надежных и честных онлайн казино требует большого количества свободного времени, особенно когда речь идет о новичках. Необходимо оценить прозрачность работы игрового клуба, репутацию в сети, отзывы других пользователей, скорость выплат и множество других факторов деятельности. Чтобы избавить игроков от подобной участи, мы составили рейтинг казино , которые прошли тщательную проверку и подтвердили собственную честность и хорошую отдачу от игровых автоматов.
Наш рейтинг лучших казиноБольше не нужно тратить личное время на проверку надежности заведения. Опытные аналитики, специализирующиеся на азартных играх и проводящие десятки часов в казино ежемесячно, провели собственную объективную оценку работы игровых клубов. Они проанализировали сотни заведений, чтобы в конечном результате предложить пользователям лучшие платформы, представленные в интернете.
Изначальный список клубов был достаточно большой, но в процессе анализа отпадали сомнительные и ненадежные заведения. К примеру, наличие поддельной лицензии, отсутствие сертификатов на слоты, подмена сервера в игровом автомате и многое другое служит предостережением для экспертов. Даже один фактор, позволяющий усомниться в честности казино, является поводом для исключения из рейтинга.
Помимо поверхностного анализа игровых платформ, выполняется проверка сведений о заведениях в интернете. Репутация в сети, отзывы действующих и бывших игроков, наличие конфликтных ситуаций, скандалов с казино и способы решения проблем от создателей учитываются при анализе. Особенное внимание уделяется молодым клубам с опытом работы до 1-2 лет.
Как составляется рейтинг казино и кто туда попадает?Для создания рейтинга лицензионных казино мы привлекаем опытных гемблеров и аналитиков с опытом работы в индустрии свыше 10 лет. Благодаря знаниям они с легкостью отсеивают мошеннические клубы, а затем проводят тщательный анализ оставшихся заведений. В результате получается небольшой список надежных казино, где можно смело играть, не опасаясь за честность результатов и выплаты выигрышей.
- наличие лицензии от регулятора по азартным играм и выбранная юрисдикция для регистрации;
- безопасность платформы, что гарантирует конфиденциальность данных и платежной информации;
- выбор лицензионного софта от надежных провайдеров, в работу которых невозможно вмешаться;
- наличие русскоязычной версии для большего удобства пользователей из России и стран СНГ;
- служба поддержки, включая график ее работы, скорость ответов, качество решения проблем;
- вывод денег без дополнительных задержек или верификаций, а также варианты для получения денег и скорость обработки операций;
- бонусные программы для новых и регулярных пользователей, наличие турниров, лотерей, периодических акций;
- платежные системы, влияющие на удобство клиентов пополнять счет и выводить выигрыши.
Это лишь небольшой перечень актуальных требований, которые оцениваются экспертами. Каждый критерий получает собственный коэффициент важности учитывающийся при суммировании конечного результата.
Что такое лицензионное казино?Рейтинг казино , свидетельствующий о честности и прозрачности работы игровых платформ, может состоять исключительно из заведений с действующими лицензиями на деятельность. Легальные клубы обязаны проходить проверку регуляторов и соответствовать всех им правилам, чтобы получить разрешение.
Одного упоминания о наличии лицензии на сайте недостаточно. Эксперты понимают, что мошенники могут использовать логотипы для обмана наивных пользователей, поэтому самостоятельно проводят анализ сведений. Для этого заходят на официальный сайт регулятора и с помощью номера документа или названия юридического лица подтверждают информацию. Если данные о лицензии отсутствуют, значит это подделка.
Также аналитики используют технический анализ для проверки лицензионного софта. С помощью инструментов для разработчиков они получают доступ к информации о сервере передачи данных. Если казино использует официальный портал провайдера ПО, тогда софт честный и легальный. Это означает, что в его работу нельзя вмешаться и подкрутить итоговые результаты.
Как определяется честность казино?Самостоятельно оценить честность игрового клуба достаточно сложно, что связано с количеством доступных ресурсов и знаний. Перед включением заведений в рейтинг честных казино , аналитики проводят тщательную проверку множества факторов:
- регионы, откуда принимаются игроки, поскольку запретные юрисдикции говорят о многом;
- лимиты на вывод, ограничивающие разовые транзакции, а также суточную, еженедельные и месячную сумму операций;
- наличие сведений об KYC и AML, что свидетельствует о соответствии требованиям законодательства о честности и легальности происхождения денег;
- репутация, подтверждающая честность и надежность работы клуба и отсутствие громких скандалов или проблем;
- длительность работы, позволяющая в полной мере оценить историю онлайн ресурса, включая все преимущества и недостатки;
- наличие регулятора и соответствие его правилам, что увеличивает шансы на справедливость деятельности.
Лицензия и регулятор - достаточно важный критерий, но это не дает 100% гарантию честности. Только клубы, которые позволили игрокам получить крупные выигрыши и джекпоты, отдали подарки за лотереи и турниры, могут рассчитывать на подобное звание.
Разновидности игровых автоматовКоличество слотов, автоматов и других видов азартных развлечений многое говорит о заведении. Некоторые клубы сотрудничают только с несколькими провайдерами софта, но получают от них популярных и новые предложения игр, а другие - расширяют сеть партнерских соглашений и приглашают огромное количество брендов к сотрудничеству. Чем больше автоматов представлено на игровой платформе, тем легче клиенту выбрать понравившийся слот.
Но рейтинг лицензионных казино учитывает не только разнообразие игр, но и их качество. Надежные игровые заведения используют исключительно лицензионный софт, который прошел проверку на честность и безопасность. Подобные автоматы позволяют рассчитывать на отдачу вплоть до 98%, причем в их работу нельзя вмешаться и подкрутить алгоритм генерации результатов.
Если говорить откровенно, все сайты нацелены на получение прибыли. Даже в случае выигрыша джекпота одним из игроков, в долгосрочной перспективе заведение остается в плюсе. Но только честные клубы позволяют пользователям получить крупный куш и вывести его на реальный счет. Это и отличает лицензионные онлайн казино от мошеннических проектов.
Бонусная политикаСоздать рейтинг казино без учета бонусной политики невозможно. Все игровые клубы используют акции и подарки, чтобы привлекать новых и удерживать действующих клиентов. Но часть заведений поступает достаточно хитро, создавая скрытые условия отыгрыша или начислений, устанавливая нереальные условия вейджеров в пределах от x60-100, которые практически нереально выполнить.
Стандартный набор поощрений состоит из следующих категорий:
Составляя рейтинг лучших казино 2020 года , учитывается наличие русского языка на платформе. Русскоязычный интерфейс позволяет пользователям из России, Беларуси, Украины и стран СНГ без проблем разобраться с регистрацией, входом, пополнением счета и другими особенностями платформы. Также это подтверждает, что заведение ориентировано на русскоговорящих пользователей, предлагая им уникальные бонусы и поддержку.
Во внимание берется работа службы поддержки. Большинство азартных клубов оказывают помощь клиентам исключительно на английском языке, что затрудняет процесс общения. Нужно использовать переводчик или обращаться к знающим людям, чтобы составить запрос и понять ответ поддержки. Поэтому в рейтинг входят только те онлайн клубы, которые консультируют клиентов в чатах поддержки и по телефону на русском языке.
Русскоязычный интерфейс в казино позволят без дополнительных усилий разобраться с пользовательскими правилами платформы, изучить бонусные предложения и особенности их начислений, отыгрыша, принять участие в турнирах и лотереях без каких-либо сомнений в правильности действий.
Казино с быстрым выводом денегОсобое внимание уделяется скорости выплаты в онлайн казино. Одни клубы предлагают вывод средств на банковские карты и электронные кошельки в течение нескольких часов, а для VIP клиентов обрабатывают запросы мгновенно. Другие используют ручную обработку заявок в рабочие дни по специальному графику, поэтому выплаты могут задерживаться до 1-3 рабочих дней с момента оформления заявки. Чтобы избавить пользователей от длительного ожидания, создан рейтинг казино с быстрым выводом .
Он состоит исключительно из тех заведений, которые оперативно рассматривают все заявки и не создают препятствий для получения денег. Учитывается не только скорость переводов, но и отсутствие проблем при запросе крупных выплат или переводов денег после выигрыша джекпота, большого куша. Только честные заведения могут гарантировать справедливость выплат и отсутствие проблем с платежами.
Также проводится анализ доступных платежных систем для депозитов и запроса денег. Стандартные сайты поддерживают минимальное количество способов, но прогрессивные клубы постоянно анализируют тренды, чтобы интегрировать новые технические решения.
Основные платежные системы в онлайн казино:
- банковские карты МИР, MasterCard, Visa;
- электронные кошельки QIWI, Yandex, Webmoney, Neteller, Skrill и другие;
- мобильные платежи Билайн, МегаФон, МТС, TELE2;
- российский интернет банкинг;
- популярные криптовалюты, включая Bitcoin, Ethereum, Litecoin.
Важный фактор, который учитывался для того, чтобы создать рейтинг честных казино - наличие службы поддержки клиентов и качество его работы. Надежные заведения заботятся о собственной клиентской базе, поэтому организовывают специальные телефонные линии, а также онлайн чаты для оперативного ответа на вопросы пользователей и решения их проблем.
Для анализа поддержки аналитики использовали телефонные линии, живые чаты и почтовые контакты. В разное время суток сотрудникам сайта поступали различные вопросы или просьбы разобраться с техническими проблемами. После этого проводилась оценка качества их работы, которые включала такие факторы:
- скорость предоставления ответов;
- решает ли консультант проблему и как много времени на это ушло;
- грамотность ответов и наличие русскоязычных сотрудников в поддержке.
Если в казино не представлены русскоязычные операторы, рекомендуем использовать онлайн переводчик от Google для перевода вопросов и ответов консультантов.
ВыводыПеред регистрацией в онлайн клубе нужно проводить анализ надежности, прозрачности его работы, а также проверять репутацию и отзывы в сети. Вместо этого мы предлагаем использовать рейтинг честных казино , составленный опытными гемблерами. С помощью собственного опыта они забраковали десятки подозрительных игровых клубов, оставив в списке лучшие заведения 2020 года.
CSRF (Сross Site Request Forgery - подделка межсайтовых запросов) Так же известен как XSRF. Данный вид атак на посетителей интернет-сайтов использует недостатки HTTP протокола. Если жертва зайдет на сайт, который специально был создан злоумышленником, то от ее лица тайно отправится запрос на сторонний сервер (например сервер электронных платежей), осуществляющий некую вредоносную операцию (перевод денег на счет взломщика). Для успеха данной атаки, жертва должна быть авторизована на сервере, на который отправится запрос. Сам запрос не должен требовать подтверждения со стороны пользователя.
Вопреки бытующему мнения, данный тип атак появился весьма давно. Теоретические рассуждения по этому вопросу появились еще в 1988 году, а первые уязвимости обнаружили в 2000 году.
Одним из применений CSRF является эксплуатация пассивных XSS, обнаруженных на другом сервере. Возможны так же спам-рассылки от лица жертвы, изменение настроек учетной записи на другом сайте.
Самым простым способом защиты от подобного типа атак является механизм, когда сайт требует подтверждения почти всех действий пользователя.
Другим способом защиты является механизм, когда с сессией пользователя ассоциируется секретный ключ, необходимый для выполнения POST-запросов. Ключ посылается пользователем внутри каждого запроса, при выполнении различных действий, а сервер проверяет данный ключ. Плюс механизма в отсутствии необходимости осуществлять парсинг поля HTTP_REFERER, а следовательно отпадает необходимость учета многих нюансов возможных вариантов отсутствия или присутствия различных элементов этого поля.
От автора: поводом к записи данного урока послужил вопрос на нашем форуме, который звучал следующим образом — как защитить сайт от CSRF -атак? Конечно мы сразу же ответили по данной теме и привели небольшой алгоритм по реализации механизма защиты. Но так как, скорее всего форум читают, далеко не все наши читатели я решил записать отдельный урок по вышеуказанному вопросу.
Сразу же хотел бы отметить, что в текущем видео не будет приведено полноценное готовое решение, которое можно внедрить на необходимый сайт. Потому как у каждого из Вас есть или же будет сайт, с уникальной логической структурой, то есть совсем не похожий на другие, а значит невозможно создать готовый скрипт защиты, соблюдая абсолютно все возможные варианты реализации.
Да и это не нужно, так как суть механизма защиты довольно проста, и поэтому в текущем видео на примере тестового сайта, Вы увидите, как можно защититься от вышеуказанного типа атаки, а далее на основе полученных знаний Вы проделаете аналогичные шаги на собственном проекте. Итак, давайте приступать.
CSRF – это аббревиатура образованная английскими словами Cross-Site Request Forgery, что означает межсайтовая подделка запросов. Данный термин введен уже достаточно давно еще 2001 году Питером Воткинсом, но говорить о возможных атаках подобного рода начали еще в далеком 1988 году. При этом заметьте, прошло уже достаточное количество времени, но все же данной атаке подвергается большая часть веб-сайтов интернета. Сразу же возникает вопрос – почему так? И ответ довольно прост и заключается в том, что уязвимость к атакам CSRF — это не ошибка кода приложения, а следствие вполне обычной работы браузера и веб-сервера.
Суть атаки заключается в том, что злоумышленник может выполнить на незащищенном сайте различные действия от имени другого зарегистрированного (авторизированного) пользователя. Другими словами данный тип атаки предусматривает посещение пользователем сайта злоумышленника, что в свою очередь приводит к тому, что незаметно для него выполняются некоторые заранее прописанные действия на другом сайте или сервисе, на котором этот пользователь в данный момент авторизован.
При этом, как правило, целями CSRF-атак являются различные интерактивные Web-приложения, которые выполняют конкретные действия, к примеру, сервисы по отправке электронной почты, различные форумы, платежные системы и т.д. То есть, хакер может выполнять некоторые действия от имени других пользователей — отправлять сообщения, добавлять новые учетные записи, осуществлять финансовые операции и т.д.
Теперь давайте рассмотрим действие указанной атаки на примере тестового сайта.
Предположим, что есть веб-сайт, задача которого сводится к отправке электронного сообщения по указанному адресу от имени некого авторизированного пользователя. То есть на главной странице мы видим форму, для отправки сообщения. Более того здесь же предусмотрен механизм отправки сообщений, при передачи определенных параметров через GET запрос (просто для примера). При этом страница авторизации выглядит следующим образом.
Данная страница вполне обычная, но в глаза бросается чек-бокс “Member”, который используется для сохранения данный авторизации в куках браузера. Собственно данный механизм очень удобен пользователям, так как упрощает повторный доступ к странице, но крайне не желателен с точки зрения безопасности. Но все же ради посетителей часто приходится идти на определенные уступки.
Код отправки сообщений двумя методами (GET и POST) выглядит примерно следующим образом:
//Отправка сообщения if($this->isGet() && !empty($_GET["email"])) { $body = "Hello this is message form - ".$this->user["name"]; $body .= " Content - from GET - ".$_GET["content"]."From - ".$_GET["email"]; mail("[email protected]","New message",$body); } if($this->isPost()) { $body = "Hello this is message form - ".$this->user["name"]; $body .= " Content - FROM POST - ".$_POST["content"]."From - ".$_POST["email"]; mail("[email protected]","New message",$body); }
//Отправка сообщения if ($ this -> isGet () && ! empty ($ _GET [ "email" ] ) ) { $ body = . $ this -> user [ "name" ] ; $ body . = " Content - from GET - " . $ _GET [ "content" ] . "From - " . $ _GET [ "email" ] ; if ($ this -> isPost () ) { $ body = "Hello this is message form - " . $ this -> user [ "name" ] ; $ body . = " Content - FROM POST - " . $ _POST [ "content" ] . "From - " . $ _POST [ "email" ] ; mail ("[email protected]" , "New message" , $ body ) ; |
Теперь, рассмотрим еще один сайт – сайт хакера.
На котором он может разместить, довольно простой, но очень эффективный код,если необходимо произвести атаку по запросу типа GET:
< img src = "http://localhost/csrf/[email protected]&content=Hello world" > |
То есть, по сути, мы видим тег img, в атрибуте src которого располагается путь к сайту, предполагаемого для атаки, с набором необходимых параметров, для выполнения конкретного действия. В нашем случае это отправка сообщения, а значит, теперь злоумышленнику достаточно заманить пользователя на текущий сайт и незаметно от него, будет осуществлен запрос к интересующему сайту, так как браузер будет пытаться загрузить изображение, путь к которому указан в атрибуте src. При этом мы помним, что в куках браузера хранятся данные для авторизации и, конечно же, приложение сразу же их использует и соответственно вышеуказанный запрос успешно будет обработан сервером. А это означает, что будет отправлено сообщение от имени пользователя.
Если посмотреть набор заголовков, которые отправляются вместе с запросом, то действительно, мы сможем увидеть и куки, с данными для входа в учетную запись, что само собой означает – как было сказано выше, что запрос будет воспринят как исходящий от аутентифицированного пользователя.
Точно такая же ситуация обстоит и с отправкой запроса методом POST, единственно в этом случае злоумышленник создаст на своем сайте форму, которая будет автоматически отправляться при помощи JavaScript ,как только посетитель зайдет на данный сайт.
Таким образом защищаться от атак подобного рода нужно обязательно и единственный наиболее эффективный способ защиты – это использование специальных токенов.
Защитный токен – это строка, которая генерируется случайным образом под конкретного пользователя и передается в каждом запросе, который предусматривает изменение данных. Помимо этого токен,так же сохраняется и в сессии. Таким образом, суть защиты, сводится к простой проверке соответствия токена, который передается в запросе и токена который хранится в сессии. Если оба токена идентичны, значит, запрос отправил авторизированный пользователь. Если токены не совпадают, или в запросе его вообще нет – с большой уверенностью можно судить, что осуществляется атака, а значит, никакие действия выполнять нельзя.
Заметьте, что защищать нужно абсолютно все запросы, которые направлены на изменение или же выполнение определенных действий.
Собственно на данном этапе текстовая часть урока завершена и продолжим говорить поданной теме мы уже в видео версии. При этом мы рассмотрим способы генерации токенов и практически реализуем алгоритм работы защиты, который описан выше. А сейчас давайте прощаться. Удачного кодирования!!!
Cross-Site Request Forgery – много шума из-за ничего
Alexander Antipov
В последнее время в сообществе специалистов по безопасности Web-приложений широко обсуждается «новый» тип уязвимостей, получивший название Cross-Site Request Forgery (CSRF или XSRF). Предлагаемая вниманию читателя статья содержит описание этого типа уязвимостей, методов его использования и основные походы к защите.
Сергей Гордейчик
Gоrdey @ ptsеcurity com
В последнее время в сообществе специалистов по безопасности Web-приложений широко обсуждается «новый» тип уязвимостей, получивший название Cross-Site Request Forgery (CSRF или XSRF). Предлагаемая вниманию читателя статья содержит описание этого типа уязвимостей, методов его использования и основные походы к защите. Общепринятый русский термин для обозначения Cross-Site Request Forgery ещё не устоялся, в связи с чем автор предлагает использовать вариант «Подделка HTTP-запросов».
Лирическое отступлениеПрежде всего, хотелось бы остановиться на основных заблуждениях связанных с CSRF:
1. Подделка HTTP-запросов – новый тип уязвимостей.
Это далеко не так. Теоретические размышления на тему подделки источника сообщений датированы 1988 годом (http://www.cis.upenn.edu/~KeyKOS/ConfusedDeputy.html), а практические примеры уязвимостей обсуждаются в Bugtraq как минимум с 2000 года (http://www.zope.org/Members/jim/ZopeSecurity/ClientSideTrojan). Сам термин введен Peter Watkins (http://www.securiteam.com/securitynews/5FP0C204KE.html) в 2001 году.
2. CSRF – это вариант Межсайтового выполнения сценариев (XSS).
Единственное сходство между CSRF и XSS, это использование в качестве вектора атаки клиентов Web-приложений (Client-Side Attack в терминологии WASC http://www.webappsec.org/projects/threat/). Уязвимости типа CSRF могут эксплуатироваться совместно с XSS или «редиректорами» (http://www..php), но представляют собой отдельный класс уязвимостей.
3. Уязвимость CSRF мало распространена и достаточно сложна в использовании.
Данные, полученные компанией Positive Technologies в ходе работ по тестированию на проникновение и оценки защищенности Web-приложений показывают, что этой уязвимости подвержена большая часть Web-приложений. В отличие от других уязвимостей CSRF возникает не в результате ошибок программирования, а является нормальным поведением Web-сервера и браузера. Т.е. большинство сайтов, использующих стандартную архитектуру уязвимы «по умолчанию».
Пример использованияДавайте рассмотрим использование CSRF на примере. Предположим, существует некое Web-приложение, отправляющее сообщения электронной почты. Пользователь указывает адрес электронной почты и текст сообщения, нажимает кнопку Submit и сообщение от его адреса передается получателю.
Рис. 1. Отправка сообщения
Схема знакома по множеству сайтов и не вызывает никаких возражений. Однако указанное приложение с большой вероятности уязвимо для атак «Подделка HTTP-запроса». Для эксплуатации уязвимости злоумышленник может создать на своем сайте страницу содержащую ссылку на «изображение», после чего заставить пользователя перейти по ссылке на свой сайт (например, http://bh.ptsecurity.ru/xcheck/csrf.htm).
При обращении к странице браузер пользователя пытается загрузить изображение, для чего обращается к уязвимому приложению, т.е. оправляет сообщение электронной почты адресату, указанному в поле «to» запроса.
Рис. 2. Атака CSRF
Обратите внимание, что браузер пользователя отправит сайту значение Cookie, т.е. запрос будет воспринят как исходящий от аутентифицированного пользователя. Для того чтобы заставить пользователя загрузить страницу, отправляющую запрос к уязвимому серверу, злоумышленник может использовать методы социальной инженерии, а также технические уязвимости, такие как XSS и ошибки в реализации функции перенаправления.
Рис. 3. Логика работы CSRF
Таким образом, атака с использованием CSRF заключается в использовании браузера пользователя для передачи HTTP-запросов произвольным сайтам, а уязвимость – в отсутствии проверки источника HTTP-запроса. Приведенное в примере приложение использует HTTP-метод GET для передачи параметров, что упрощает жизнь злоумышленнику. Однако не стоит думать, что использование метода POST автоматически устраняет возможность проведения атак с подделкой HTTP-запроса. Страница на сервере злоумышленника может содержать готовую HTML-форму, автоматически отправляемую при просмотре страницы.
Для эксплуатации CSRF злоумышленнику совсем не обязательно иметь свой Web-сервер. Страница, инициирующая запрос может быть передана по электронной почте или другим способом.
В обзоре Billy Hoffman приведены различные методы сетевого взаимодействия с помощью Javascript. Все они, включая XmlHttxmpquest (в некоторых ситуациях), могут быть задействованы для реализации атак CSRF.
Надеюсь, что сейчас читателю уже понятно основное отличие CSRF от XSS. В случае с XSS злоумышленник получает возможность доступа к DOM (Document Object Model) уязвимой страницы, как на чтение, так и на запись. При выполнении CSRF атакущий имеет возможность передать запрос серверу с помощью браузера пользователя, но получить и проанализировать ответ сервера, а тем более его заголовок (например, Cookie) уже не сможет. Соответственно, «Подделка HTTP-запросов» позволяет работать с приложением в режиме «только на запись», чего впрочем, вполне достаточно для выполнения реальных атак.
Основными целями CSRF-атак являются различные интерактивные Web-приложения, например системы электронной почты, форумы, CMS, интерфейсы удаленного управления сетевым оборудованием. Например, злоумышленник может отправлять сообщения от имени других пользователей, добавлять новые учетные записи, или изменять настройки маршрутизатора через Web-интерфейс.
Рис. 4. Пример эксплуатации CSRF в форуме
Остановимся подробнее на последнем – изменении настроек сетевых устройств. Автор уже по отношению к системам обнаружения беспроводных атак, но естественно, ими дело не ограничивается.
Пробиваем периметрВ декабре прошлого года компания Symantec опубликовала отчет о «новой» атаке, под называнием «Drive-By Pharming», которая, по сути, является вариантом эксплуатации CSRF. Злоумышленник выполняет в браузере пользователя некий «волшебный» JavaScript, изменяющий настройки маршрутизатора, например устанавливающего новое значение DNS-сервера. Для выполнения этой атаки необходимо решить следующие задачи:
Сканирование портов с помощью JavaScript;
Определение типа Web-приложения (fingerprint);
Подбор пароля и аутентификация с помощью CSRF;
Изменение настроек узла с помощью атаки CSRF.
Техника сканирования определения доступности Web-сервера и его типа по с помощью JavaScript проработана достаточно хорошо и сводится к динамическому созданию HTML-объектов (например, img src=), указывающие на различные внутренние URL (например, http://192.168.0.1/pageerror.gif). Если «картинка» была успешно загружена, то по тестируемому адресу расположен Web-сервер на базе Microsoft IIS. Если в ответ было получена ошибка 404, то порт открыт и на нем работает Web-сервер. В случае если был превышен таймаут – сервер отсутствует в сети или порт заблокирован на межсетевом экране. Ну и в остальных ситуациях – порт закрыт, но хост доступен (сервер вернул RST-пакет и браузер вернул ошибку до истечения таймаута). В некоторых ситуациях подобное сканирование портов из браузера пользователя может проводиться без использования JavaScript (http://jeremiahgrossman.blogspot.com/2006/11/browser-port-scanning-without.html).
После определения типа устройства злоумышленник может попробовать заставить браузер пользователя сразу послать запрос на изменение настроек. Но такой запрос будет успешен только в случае, если браузер пользователя уже имеет активную аутентифицированную сессию с устройства. Иметь под рукой открытую страницу управления маршрутизатором - дурная привычка многих «продвинутых» пользователей.
Если же активной сессии с интерфейсом управления нет, злоумышленнику необходимо пройти аутентификацию. В случае если в устройстве реализована аутентификация на основе форм, никаких проблем не возникает. Используя CSRF в POST, серверу отправляются запрос на авторизацию, после чего с него загружается изображение (или страница) доступная только аутентифицированным пользователям. Если изображение было получено, то аутентификация прошла успешно, и можно приступать к дальнейшим действиям, в обратном случае – пробуем другой пароль.
В случае если в атакуемом устройстве реализована аутентификация по методу Basic, задача усложняется. Браузер Internet Explorer не поддерживает возможность указать имя пользователя и пароль в URL (например, http://user:[email protected]). В связи с этим для выполнения Basic-аутентификации может использоваться метод с добавлением HTTP-заголовков с помощью Flash, описанный в статье . Однако этот метод подходит только для старых версий Flash, которые встречаются все реже и реже.
Но другие брузеры, например Firefox дают возможность указать имя пользователя и пароль в URL, и могут быть использованы для аутентификации на любом сервере, причем это можно сделать без генерации сообщения об ошибке в случае выбора неверного пароля.
Пример сценария для «тихой» аутентификации по методу Basic, из блога Stefan Esser приведен ниже.
Firefox HTTP Auth Bruteforcing
Рис. 5. Аутентификация Basic в Firefox
В корпоративной среде, где зачастую используются механизмы SSO, например, на базе домена Active Directory и протоколов Kerberos и NTLM эксплуатация CSRF не требует дополнительных усилий. Браузер автоматически пройдет аутентификацию в контексте безопасности текущего пользователя.
После того как аутентификация была пройдена, злоумышленник с помощью JavaScript передать запрос, изменяющий произвольные настройки маршрутизатора, например адрес DNS-сервера.
Методы защитыПервое, что приходит на ум, когда речь заходит о защите от CSRF – это проверка значения заголовка Referer. И действительно, поскольку подделка HTTP-запросов заключается в передаче запроса с третьего сайта, контроль исходной страницы, чей адрес автоматически добавляется браузером в заголовки запроса, может решить проблему.
Однако этот механизм имеет ряд недостатков. Во-первых – перед разработчиком встает вопрос об обработке запросов, не имеющих заголовка Referer как такового. Многие из персональных межсетевых экранов и анонимизирующих proxy-серверов вырезают Referer, как потенциально небезопасный заголовок. Соответственно, если сервер будет игнорировать подобные запросы, группа наиболее «параноидально» настроенных граждан не смогут с ним работать.
Во-вторых, в некоторых ситуациях заголовок Referer может быть подделан, например, с помощью уже упоминавшегося трюка с Flash. Если пользователь применяет IE 6.0, то содержимое заголовка запроса может быть модифицировано c использованием ошибки в реализации XmlHttxmpquest. Уязвимость заключается в возможности использования символов перевода строки в имени HTTP-метода, что позволяет изменять заголовки и даже внедрять дополнительный запрос. Эта уязвимость была обнаружена Amit Clein () в 2005 году и снова открыта в 2007. Ограничением этого метода является то, что он работает только в случае наличия между пользователем и сервером HTTP-Proxy или размещения серверов на одном IP-адресе, но с разными доменными именами.
Другой распространенный метод – добавление уникального параметра к каждому запросу, который затем проверяется сервером. Параметр может добавляться к URL при использовании GET запроса как например, в или в виде спрятанного параметра формы, при использовании POST. Значение параметра может быть произвольным, главное, чтобы злоумышленник не мог его предсказать, например – значение сессии пользователя.
Рис. 6. Защита от CSRF в Bitrix
Для быстрого добавления функции проверки CSRF в свое приложение можно воспользоваться следующим подходом:
1. Добавлять в каждую генерируемую страницу небольшой JavaScript, дописывающий во все формы дополнительный скрытый параметр, которому присваивается значение Cookie.
2. Проверять на сервере, что переданные клиентом с помощью метода POST данные содержат значение, равное текущему значению Cookie.
Пример подобного клиентского сценария приведен ниже:
Дальнейшим развитием этого подхода является сохранение идентификатора сессии не в Cookie, а в качестве скрытого параметра формы (например, VIEWSTATE).
В качестве метода противодействия CSRF могут использоваться различные варианты тестов Тьюринга, например, хорошо известные всем изображения - CAPTCHA. Другим популярным вариантом является необходимость ввода пользовательского пароля при изменении критичных настроек.
Рис. 7. Защита от CSRF в mail.ru
Таким образом, Cross-Site Request Forgery являются атакой, направленной на клиента Web-приложения и использующей недостаточную проверку источника HTTP-запроса. Для защиты от подобных атак может использоваться дополнительный контроль источника запроса на основе заголовка Referer или дополнительного «случайного» параметра.
Сергей Гордейчик работает системным архитектором компании Positive Technologies, где он специализируется в вопросах безопасности приложений, безопасности беспроводных и мобильных технологий. Автор также является ведущим разработчиком курсов «Безопасность беспроводных сетей», «Анализ и оценка защищенности Web-приложений» учебного центра «Информзащита» . Опубликовал несколько десятков статей в “Windows IT Pro/RE”, SecurityLab и других изданиях. Является участником проектов Web Application Security Consortium (WASC).
Антивирус Bitdefender: эффективный защитник Без вопросов
Значение слова неудачный
Обзор Samsung Galaxy A7 (2017): не боится воды и экономии Стоит ли покупать samsung a7
Делаем бэкап прошивки на андроиде
Как настроить файл подкачки?