×
HeadHunter and Superjob rezume updater on Ruby on Rails (21 авг 2017)

Практикуемся в написании кода под rails.

Важно Атака Cross-Site Request Forgery

Больше
6 года 6 мес. назад #1 от boris_term
boris_term создал эту тему: Атака Cross-Site Request Forgery
Всем здравствуйте.
Возник вот такой вопрос - скажите, насколько хорошо joomla защищена от атак типа “Cross-Site Request Forgery”?

Бреем, стрижем. Недорого берем.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
6 года 6 мес. назад - 6 года 6 мес. назад #2 от Aleksej
Aleksej ответил в теме Re: Атака Cross-Site Request Forgery
CSRF (англ. Сross Site Request Forgery — «Подделка межсайтовых запросов», также известен как XSRF) — вид атак на посетителей веб-сайтов, использующий недостатки протокола HTTP. Если жертва заходит на сайт, созданный злоумышленником, от её лица тайно отправляется запрос на другой сервер (например, на сервер платёжной системы), осуществляющий некую вредоносную операцию (например, перевод денег на счёт злоумышленника). Для осуществления данной атаки, жертва должна быть авторизована на том сервере, на который отправляется запрос, и этот запрос не должен требовать какого-либо подтверждения со стороны пользователя, который не может быть проигнорирован или подделан атакующим скриптом.

Данный тип атак, вопреки распространённому заблуждению, появился достаточно давно: первые теоретические рассуждения появились в 1988 году, а первые уязвимости были обнаружены в 2000 году.

Одно из применений CSRF — эксплуатация пассивных XSS, обнаруженных на другом сервере. Также возможны отправка писем (спам) от лица жертвы и изменение каких-либо настроек учётных записей на других сайтах (например, секретного вопроса для восстановления пароля).


Итак, CSRF расшифровывается как “Cross-Site Request Forgery” (Межсайтовая подделка запроса). Данный способ атаки подразумевает имитирование запроса пользователя к некоему стороннему сайту. Эта уязвимость получила очень широкое распространение, виной чему - особенность архитектуры большинства веб-приложений. Точнее говоря - в силу того, что целый ряд веб-приложений не способен однозначно определить и идентифицировать пользователя по отношению к тому или иному запросу.

В качестве примера - приведем процедуру изменения профиля в IPB или phpBB... при изменении uin ICQ, либо адреса домашней странички у Вас не спрашивают пароля, не просят ввести код с какой бы тот ни было картинки. Иными словами - в данном случае единственным средством распознавания клиента являются cookies либо сессия (или referer). Соответственно - если с помощью определённого кода заставить браузер отправить нужный нам запрос на сторонний сайт, то запрос может вполне нормально пройти даже к тем скриптам, в которых нужна авторизация – ведь браузер при запросах к сайту отправляет ему и cookies. Главное - чтобы пользователь заранее был авторизирован.

В контексте защиты от “Cross-Site Request Forgery” - да, разработчики современных компонентов joomla стараются предусмотреть защиту от такого рода атак. Навскидку, актуальная версия Uddeim включает подобную защиту:

Данная опция защищает от всех типов атак Cross-Site Request Forgery (так называемая "Подделка межсайтовых запросов"). Рекомендуем включить ее. Отключайте только, если у вас возникли какие-то проблемы.

Последнее редактирование: 6 года 6 мес. назад от Aleksej.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.