teddy пишет:
Вот и я оп том же ))
он тоже осядет в айфрейм, будет отправлен на сервер, и пройдет проверку
61. DeepVarvar - 25 Ноября, 2015 - 22:02:18 - перейти к сообщению
62. MiksIr - 25 Ноября, 2015 - 23:00:54 - перейти к сообщению
DeepVarvar пишет:
Других задевать можно, и меня в том числе, только аргументированно.
Ок, задеваю. Где форум, который решили писать своими силами ибо все *** какие программисты и ставить готовое решение, как ты там сказал - "энтерпрайзозависимость" ;)
(Добавление)
teddy пишет:
А токен ведь находится в таком же инпуте как и остальные, он тоже осядет в айфрейм, будет отправлен на сервер, и пройдет проверку. Нет?
Задача атакующего - отправить под логином атакуемого те данные, которые ему выгодны и нужны.
В вашем случае это будет как албанский вирус. Типа, пожалуйста, введите вот в эту красивую форуму номер моего счета и нажмите отправить. В общем и такое бывает, но это уже ближе к социальной инженерии, чем csrf.
А в случае csrf - атакующему нахрен не нужна форма загруженная с оригинального сайта. Ибо он ее заполнить не сможет из-за защиты браузера.
63. DelphinPRO - 25 Ноября, 2015 - 23:55:01 - перейти к сообщению
нужно. точка.
Растарахтелись тут.
Растарахтелись тут.
64. DeepVarvar - 26 Ноября, 2015 - 00:22:16 - перейти к сообщению
MiksIr пишет:
http://phpsu[dot]deep-host[dot]ru/ но это не актуальная версия, сделано уже гораздо больше.Где форум
MiksIr пишет:
Да-да, и это тоже. Так от чего же спасает токен?
он ее заполнить не сможет из-за защиты браузера
65. MiksIr - 26 Ноября, 2015 - 00:26:10 - перейти к сообщению
DeepVarvar пишет:
Да-да, и это тоже. Так от чего же спасает токен?
От поста заполненной формы с action=атакуемый_сайт
(Добавление)
DeepVarvar пишет:
но это не актуальная версия, сделано уже гораздо больше
Да кого волнует сколько сделано. Когда он будет - вот что важно. С функционалом хотя бы близко к существующим решениям.
66. DeepVarvar - 26 Ноября, 2015 - 00:32:35 - перейти к сообщению
Увидишь.
67. teddy - 26 Ноября, 2015 - 19:02:49 - перейти к сообщению
MiksIr пишет:
Задача атакующего - отправить под логином атакуемого те данные, которые ему выгодны и нужны.
И в чем вы заметили противоречие между моим вопросом и данным утверждением?
Все то же самое, только не автоматически.
MiksIr пишет:
А в случае csrf - атакующему нахрен не нужна форма загруженная с оригинального сайта.
Нет. CSRF не значит "атакующему нахрен не нужна форма".
Видимо просто у вас в подсознании отложился шаблонный вариант CSRF.
Вариантов, увы, вы так и не предложили. Точнее сказали про токены в форме, которые не являются решением проблемы, о которой шла речь. А наличие проблемы - признали
68. MiksIr - 26 Ноября, 2015 - 19:58:49 - перейти к сообщению
Во-первых, то, о чем вы говорите - это clickjacking. Эту атаку отделяют от CSRF. Так что мух от котлет отделяем.
Во-вторых, не, проблемы не вижу, ибо она очень надуманная.
Надуманная из-за этого: "заполняете форму" - какую форму, что они вводят, почему это приводит к выгоде атакующего.
Но в основном из-за этого "Браузер старый, не понимает x frame options" - огромное число способов защит базируется на same origin policy и прочих способах защит, которые завязаны на клиентский браузер. Как и огромное количество атак базируется на багах в этих браузерах, позволяющих преодолевать ограничения. Именно по-этому защита частей сайта, которые могут привести к финансовым потерям клиентов - многоуровневая, но csrf/clickjacking остаются одним из уровней защиты.
Во-вторых, не, проблемы не вижу, ибо она очень надуманная.
Надуманная из-за этого: "заполняете форму" - какую форму, что они вводят, почему это приводит к выгоде атакующего.
Но в основном из-за этого "Браузер старый, не понимает x frame options" - огромное число способов защит базируется на same origin policy и прочих способах защит, которые завязаны на клиентский браузер. Как и огромное количество атак базируется на багах в этих браузерах, позволяющих преодолевать ограничения. Именно по-этому защита частей сайта, которые могут привести к финансовым потерям клиентов - многоуровневая, но csrf/clickjacking остаются одним из уровней защиты.
69. teddy - 26 Ноября, 2015 - 20:30:36 - перейти к сообщению
MiksIr пишет:
Во-первых, то, о чем вы говорите - это clickjacking.
Почему сразу clickjacking и только он? Да, есть такое понятие и в данном контексте текущий вопрос очень напоминает clickjacking из за замазывания UI.
Обычно когда говорят о clickjacking, в качестве примеров обычно выступают просто click-и по ссылочкам, кнопочкам, а-ля лайки.
Хочу сказать, установленный в качестве защиты от CSRF токен в форме, не всегда может защитить. Надеюсь вы понимаете о чем я. Если кратко - то форма есть, токен есть, и дыра есть.
MiksIr пишет:
огромное число способов защит базируется на same origin policy и прочих способах защит
Да никто не спорит
Я ведь уже говорил что верятность не такая большая, но тем не менее есть.
70. SAD - 26 Ноября, 2015 - 20:35:37 - перейти к сообщению
Я думаю, пора уже закрывать тему. ТС слился, а вы срач разводите.
71. DeepVarvar - 26 Ноября, 2015 - 20:43:05 - перейти к сообщению
Садик, этот срач полезен.
Я бы даже сказал ОЧЕНЬ полезен.
Я бы даже сказал ОЧЕНЬ полезен.
72. MiksIr - 26 Ноября, 2015 - 20:48:24 - перейти к сообщению
teddy пишет:
Обычно когда говорят о clickjacking, в качестве примеров обычно выступают просто click-и по ссылочкам, кнопочкам, а-ля лайки.
Ну так у вас клик по замазанной кнопке сабмита. Как раз вполне себе clickjacking.
teddy пишет:
Хочу сказать, установленный в качестве защиты от CSRF токен в форме, не всегда может защитить. Надеюсь вы понимаете о чем я. Если кратко - то форма есть, токен есть, и дыра есть.
Токен не защищает от clickjacking. Не защищает от нарушений same origin policy. У него есть вполне определенные задачи, которые он выполняет - защищает именно от csrf. Ну в принципе можно говорить, что "токен + система ограничивающих политик в браузере = защита от csrf". Но это будет формализм, ибо эксплуатация уязвимостей бразуера - по сути своей атака другого вида, хоть и результатом может являться csrf. Как-то так.
По-этому, если вы спрашиваете, как защититься от clickjacking - то x-frame. Если у вас есть подозрение, что много ваших клиентов пользуются устаревшим ПО - нужно уже смотреть на него. Может банальное top != window сработает даже. Или запрет серверу работать с определенным набором user-agent.
Если спрашиваем, как защититься от csrf - то токен.
А те, кто будет действительно погружаться во все эти вопросы - ну разберутся как-то уже в нюансах.
73. SAD - 26 Ноября, 2015 - 20:54:02 - перейти к сообщению
То, что вы тут много пишите, не значит, что оно чем - то полезно
74. MiksIr - 26 Ноября, 2015 - 20:55:04 - перейти к сообщению
SAD пишет:
То, что вы тут много пишите, не значит, что оно чем - то полезно
Поверьте, то, о чем пишете сейчас вы - еще менее полезно.
75. teddy - 26 Ноября, 2015 - 21:06:34 - перейти к сообщению
MiksIr пишет:
хоть и результатом может являться csrf
Я рад что мы друг друга поняли
MiksIr пишет:
Может банальное top != window сработает даже
Может и сработает, а может и не сработает. Есть sandbox, есть отключенный javascript.
MiksIr пишет:
Или запрет серверу работать с определенным набором user-agent.
Не привык доверять подобным данным...
SAD
Срача тут нет, мы просто беседуем
Но в целом насчет стопа соглашусь, топ уже сильно напоминает кашу и мусолится почти одно и то же, только с разной формулировкой и легкими апдейтами))