Форум АНТИЧАТ - CSRF – атаки. (Cross-Site Request Forgery).

12.06.2008, 08:04

sabe

Постоянный

Регистрация: 16.03.2007

Сообщений: 380

Провел на форуме:
1404552

Репутация: 568

Отправить сообщение для sabe с помощью ICQ

Отправить сообщение для sabe с помощью AIM

Отправить сообщение для sabe с помощью Yahoo

Схема знакома по множеству сайтов и не вызывает никаких возражений. Однако указанное приложение с большой вероятности уязвимо для атак «Подделка HTTP-запроса». Для эксплуатации уязвимости злоумышленник может создать на своем сайте страницу содержащую ссылку на «изображение», после чего заставить пользователя перейти по ссылке на свой сайт (например, http://bh.ptsecurity.ru/xcheck/csrf.htm).

Цитата:

При обращении к странице браузер пользователя пытается загрузить изображение, для чего обращается к уязвимому приложению, т.е. оправляет сообщение электронной почты адресату, указанному в поле «to» запроса.

Обратите внимание, что браузер пользователя отправит сайту значение Cookie, т.е. запрос будет воспринят как исходящий от аутентифицированного пользователя. Для того чтобы заставить пользователя загрузить страницу, отправляющую запрос к уязвимому серверу, злоумышленник может использовать методы социальной инженерии, а также технические уязвимости, такие как XSS и ошибки в реализации функции перенаправления.

Таким образом, атака с использованием CSRF заключается в использовании браузера пользователя для передачи HTTP-запросов произвольным сайтам, а уязвимость – в отсутствии проверки источника HTTP-запроса. Приведенное в примере приложение использует HTTP-метод GET для передачи параметров, что упрощает жизнь злоумышленнику. Однако не стоит думать, что использование метода POST автоматически устраняет возможность проведения атак с подделкой HTTP-запроса. Страница на сервере злоумышленника может содержать готовую HTML-форму, автоматически отправляемую при просмотре страницы.

Цитата:

<html>
<body>
<form method=POST action="http://test.ptsecurity.ru/xcheck/postsend.asp"> Mail to:
<br><br>
<input type=text name=to value="user2spam@example.com"><br><br> Message:
<br><br>
<textarea width=20 name=mess>Spam The</textarea><br><br> <input type=submit id=doit> </form>
<script> document.getElementById("doit").click(); </script>
</body>
</html>

Для эксплуатации CSRF злоумышленнику совсем не обязательно иметь свой Web-сервер. Страница, инициирующая запрос может быть передана по электронной почте или другим способом.

Пример сценария для «тихой» аутентификации по методу Basic, из блога Stefan Esser:

Цитата:

<html> <head> <title>Firefox HTTP Auth Bruteforcing</title> <script> function okPW() { alert("User/Password Combination correct"); } function wrongPW() { alert("User/Password Combination is wrong"); } </script> <link rel="shortcut icon" href="http://user

ass@URL" type="image/x-icon"> </head> <body> <img src="http://www.securitylab.ru/_article_images/2007/03/http://user

ass@URL" onLoad="okPW()" onError="wrongPW()"> </body> </html>

Таким образом, Cross-Site Request Forgery являются атакой, направленной на клиента Web-приложения и использующей недостаточную проверку источника HTTP-запроса. Для защиты от подобных атак может использоваться дополнительный контроль источника запроса на основе заголовка Referer или дополнительного «случайного» параметра.