Saididevaheliste taotluste võltsimine (CSRF) on üks vanimaid viise veebisaidi haavatavuste kasutamiseks. See on suunatud serveripoolsetele veebilülititele, mis vajavad tavaliselt autentimist, näiteks sisselogimist. CSRF-i rünnaku ajal on ründaja eesmärk sundida oma ohvrit tegema nende nimel volitamata ja pahatahtlikku veebipäringut.
Nõrgad või kehvad veebisaidi turvapraktikad ja hoolimatus kasutajateel on ühed eduka CSRF-rünnaku levinumad põhjused.
Vaatame, mis on CSRF-rünnak ja võimalikke viise, kuidas ennast sellest arendajana või kasutajana takistada.
Kuidas mõjutavad CSRF-i rünnakud teid?
CSRF on rünnak, mida kasutatakse volitamata taotluste rakendamiseks veebitoimingute ajal, mis nõuavad kasutaja sisselogimist või autentimist. CSRF-rünnakud võivad kasutaja mandaatide varastamiseks ära kasutada nii seansi ID-sid, küpsiseid kui ka muid serveripõhiseid nõrkusi.
Näiteks hoiab CSRF-vastaste protseduuride lubamine ära domeenidevahelise pahatahtliku interaktsiooni.
Kui see tõke puruneb, saab ründaja kasutaja brauseri loodud küpsiste abil kiiresti kasutaja seansi ID-d ära kasutada ja manustada haavatavale veebisaidile skripti märgendi.
ID-ga manipuleerides saab ründaja suunata külastajaid ka teisele veebisaidile või kasutada seda ära sotsiaalsed insenerimeetodid nagu e-post linkide saatmiseks, julgustades ohvrit pahatahtlikku tarkvara alla laadima.
Siit saate teada, kuidas sotsiaalne insener võib teid mõjutada, ning levinud näited, mis aitavad teil neid skeeme tuvastada ja nende eest kaitsta.
Kui ohver selliseid toiminguid teeb, saadab ta kasutaja teenuslehele HTTP-päringu ja volitab taotlustoimingut ründaja kasuks. See võib pahaaimamatu kasutaja jaoks hävitada.
Edukas CSRF-i rünnak võib autoriseeritud kasutajad kaotada ründajale juurdepääsuõigused, eriti serveripõhiste toimingute ajal, näiteks parooli või kasutajanime muutmise taotluste ajal. Halvemates olukordades võtab ründaja kogu seansi üle ja tegutseb kasutajate nimel.
CSRF-i on kasutatud nii veebifondide tehingute kaaperdamiseks kui ka kasutajanimede ja paroolide muutmiseks, mille tulemusel kaotavad kasutajad juurdepääsu mõjutatud teenusele.
Kuidas ründajad CSRF-iga teie seansse kaaperdavad: näited
CSRF-rünnakute peamised sihtmärgid on veebitoimingud, mis hõlmavad kasutaja autentimist. Edu saavutamiseks vajab see ohvri tahtmatut tegutsemist.
CSRF-i rünnaku ajal on GET, DELETE ja PUT toimingud, samuti haavatavad POST-taotlused ründaja peamised sihtmärgid.
Vaatame nende mõistete tähendust:
- Hangi: Taotlus andmebaasi tulemuse kogumiseks; näiteks Google'i otsing.
- POSTITAMINE: Tavaliselt taotluste esitamiseks veebivormide kaudu. POST-päring on levinud kasutaja registreerumise või sisselogimise ajal, mida nimetatakse ka autentimiseks.
- KUSTUTA: Ressursi eemaldamine andmebaasist. Teete seda alati, kui kustutate oma konto konkreetsest veebiteenusest.
- PUT: PUT-päring muudab või värskendab olemasolevat ressurssi. Näide on oma Facebooki nime muutmine.
Praktikas kasutavad ründajad seansi kaaperdamist CSRF-i rünnaku varundamiseks. Selle kombinatsiooni kasutamisel saab ründaja kaaperdamise abil muuta ohvri IP-aadressi.
Seejärel logib IP-aadressi muutus ohvri uuele veebisaidile, kuhu ründaja on sisestanud petliku lingi, mis esitab CSRF-i kaudu loodud koopia vormi või muudetud serveripäringu.
Pahaaimamatu kasutaja arvab, et ümbersuunamine pärineb teenusepakkujalt ja klõpsab ründaja veebisaidil olevat linki. Kui nad on seda teinud, esitavad häkkerid lehe laadimisel nende teadmata vormi.
Näide GET Request CSRF-i rünnakust
Kujutage ette, kuidas proovite veebimakseid teha tagamata e-kaubanduse platvormi kaudu. Platvormi omanikud kasutavad teie tehingu töötlemiseks GET-päringut. See GET-päring võib välja näha järgmine:
https://websiteurl/pay? summa = 10 dollarit ja ettevõte = [ettevõtte ABC konto]Kaaperdaja saab teie tehingu hõlpsalt varastada, muutes GET-päringu parameetreid. Selleks on neil vaja vaid vahetada oma nimi enda vastu ja halvemal juhul muuta summat, mida kavatsete maksta. Seejärel kohandavad nad algse päringu umbes selliseks:
https://websiteurl/pay? summa = 20000 dollarit & ettevõte = [ründaja konto]Kui klõpsate selle muudetud GET-päringu lingil, jõuate ründaja kontole tahtmatult üle.
GET-päringute kaudu tehingute tegemine on halb tava ja see muudab tegevused rünnakute suhtes haavatavaks.
POST-päringu CSRF-i rünnaku näide
Kuid paljud arendajad usuvad, et POST-päringu kasutamine on veebitehingute tegemiseks turvalisem. Kuigi see on tõsi, on kahjuks POST-päring vastuvõtlik ka CSRF-i rünnakute suhtes.
POST-päringu edukaks kaaperdamiseks on ründajal vaja ainult teie praegust seansi ID-d, mõnda paljundatud nähtamatut vormi ja mõnikord ka väikest sotsiaalset tehnikat.
Näiteks võib POST-i taotlusvorm välja näha järgmine:
Ründaja saab aga teie mandaadi vahetada, tehes uue lehe ja muutes ülaltoodud vormi selliseks:
Manipuleeritud kujul määrab ründaja summa välja väärtuseks "30000", vahetab saaja kontonumber, edastab vormi lehelaadimisel ja peidab ka vormiväljad kasutaja.
Kui nad selle praeguse seansi kaaperdavad, algatab teie tehingu leht ümbersuunamise ründaja lehele, mis palub teil klõpsata lingil, mida nad teavad kõige tõenäolisemalt külastavat.
Sellel klõpsates laaditakse kopeeritud vormi esitamine, mis kannab teie raha ründaja kontole. See tähendab, et tehingu toimumiseks ei pea te klõpsama nuppe nagu "saatmine", kuna JavaScript teeb seda järgmise veebilehe laadimisel automaatselt.
Teise võimalusena saab ründaja koostada ka HTML-i manustatud meilisõnumi, mis palub teil klõpsata lingil sama lehe laadimise vormi esitamiseks.
Teine CSRF-rünnaku suhtes haavatav tegevus on kasutajanime või parooli muutmine, näide PUT-taotlusest. Ründaja kordab teie taotlusvormi ja asendab teie e-posti aadressi oma aadressiga.
Seejärel varastavad nad teie seansi ja suunavad teid kas lehele või saadavad teile meilisõnumi, mis palub teil klõpsata atraktiivsel lingil.
Seejärel saadetakse manipuleeritud vorm, mis saadab parooli lähtestamise lingi teie häkkeri e-posti aadressile. Nii muudab häkker teie parooli ja logib teid oma kontolt välja.
Kuidas vältida CSRF-i rünnakuid arendajana
Üks paremaid meetodeid CSRF-i ennetamiseks on olekumuutuste käivitamiseks serveris seansiküpsiste asemel sageli muutuvate märkide kasutamine.
Seotud: Tasuta juhendid digitaalse turvalisuse mõistmiseks ja teie privaatsuse kaitsmiseks
Paljud kaasaegsed taustarakendused pakuvad CSRF-i eest turvalisust. Nii et kui soovite ise vältida CSRF-i täiustamise tehnilisi üksikasju, saate selle hõlpsalt lahendada, kasutades serveripoolseid raamistikke, mis on varustatud sisseehitatud CSRF-vastaste märkidega.
CSRF-vastase loa kasutamisel genereerivad serveripõhised taotlused staatilisemate haavatavate seansiküpsiste asemel juhuslikud stringid. Nii saate kaitsta oma seanssi kaaperdaja äraarvamise eest.
Kahefaktorilise autentimissüsteemi (2FA) juurutamine veebirakenduses tehingute käitamiseks vähendab ka CSRF-i võimalusi.
CSRF-i on võimalik algatada saididevahelise skriptimise (XSS) kaudu, mis hõlmab skripti sisestamist kasutajaväljadesse, näiteks kommentaarivormidesse. Selle vältimiseks on hea tava lubada HTML-i automaatne põgenemine kõigil teie veebisaidi kasutajavormiväljadel. See toiming takistab vormiväljadel HTML-elementide tõlgendamist.
Kuidas ära hoida CSRF-i rünnakuid kasutajana
Autentimisega seotud veebiteenuse kasutajana on teil oma osa selles, et takistada ründajatel ka teie volituste ja seansside varastamist CSRF-i kaudu.
Veenduge, et kasutaksite usaldusväärseid veebiteenuseid tegevuse ajal, mis hõlmab rahaülekannet.
Lisaks sellele kasutage turvalised veebibrauserid mis kaitsevad kasutajaid seansi kokkupuute eest, samuti turvalised otsingumootorid, mis kaitsevad otsinguandmete lekke eest.
Seotud: Parimad privaatsed otsingumootorid, mis austavad teie andmeid
Kasutajana võite sõltuda ka kolmandate osapoolte autentijatest Google Authenticator või selle alternatiivid oma identiteedi kontrollimiseks veebis.
Kuigi võite tunda end abituna, et peatada ründajal teie seansi kaaperdamine, saate siiski aidata vältige seda, tagades, et teie brauser ei salvesta teavet, näiteks paroole ja muid sisselogimisandmeid üksikasjad.
Veebiturvalisuse suurendamine
Arendajad peavad veebirakendusi arendamise ja juurutamise ajal regulaarselt turvarikkumiste suhtes testima.
Siiski on tavaline tuua sisse muid haavatavusi, püüdes teisi ära hoida. Nii et olge ettevaatlik ja veenduge, et te pole CSRF-i blokeerimisel rikkunud muid turbeparameetreid.
Looge tugev parool, mida saate hiljem meelde jätta. Kasutage neid rakendusi oma turvalisuse täiendamiseks uute tugevate paroolidega juba täna.
- Turvalisus
- Veebiturvalisus
Idowu on kirglik kõigest nutikast tehnoloogiast ja tootlikkusest. Vabal ajal mängib ta kodeerimisega ringi ja lülitub igavuse korral malelauale, kuid armastab ka rutiinist lahti murda. Tema kirg näidata inimestele moodsate tehnikate kohta motiveerib teda rohkem kirjutama.
Telli meie uudiskiri
Liituge meie uudiskirjaga, et saada tehnilisi näpunäiteid, ülevaateid, tasuta e-raamatuid ja eksklusiivseid pakkumisi!
Veel üks samm !!!
Palun kinnitage oma e-posti aadress meilis, mille me just saatsime.