Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737
Форумы портала PHP.SU :: CSRF Cross-site Request Forging

 PHP.SU

 Программирование на PHP, MySQL и другие веб-технологии
PHP.SU Портал     На главную страницу форума Главная     Помощь Помощь     Поиск Поиск     Поиск Яндекс Поиск Яндекс     Вакансии  Пользователи Пользователи


 Страниц (1): [1]   

> Описание: Эт чо за мужик вообще?
Поиск в теме | Версия для печати
CodeWarrior
Отправлено: 26 Марта, 2009 - 22:21:36
Post Id



Частый гость


Покинул форум
Сообщений всего: 157
Дата рег-ции: Янв. 2009  
Откуда: Албания


Помог: 0 раз(а)
Прочитал сегодня следующее (статья "Безопасность PHP скриптов" ):
Цитата:
CSRF, Cross-site Request Forging. Формирование на сайте хакера запроса, который будет выполнен браузером пользователя (и, как следствие - со всеми правами пользователя!). То есть, просто авторизация от этой атаки не спасает. Для защиты от этого типа атак следвет взять за правило добавлять ко всем важным формам скрытое поле, содержащее уникальную строку (сгенерированную случайным образом только для этой формы), записывать её в сессию и сравнивать при обработке формы. Хакер добавить такую строку в свою форму не сможет, и атака не сработает.

Знает ли кто что это такое и как с этим бороться? А именно: я не понимаю всю опасность того что будет если не будет скрыторо поля с уникальным значением. Да и вообще из этого мне мало что понятно. Кто знает помогите разобраться.

(Отредактировано автором: 26 Марта, 2009 - 22:22:52)

 
 Top
Гость
Отправлено: 27 Марта, 2009 - 12:54:53
Post Id


УДАЛЁН
Ну положим такая ситуация - пользователь авторизирован кукой которая работает некое время (Особенно если стоят галки типа запомнить меня за этим компьютером)
Потом полтьзователь заходит на закерский сайт (А этто сайт вообще может грузиться гденибудть в скрытом iframe) и GET/POST формой дает запрос на тот изначатальный сайт а так как кука никуда не делась то запрос выполняется с правами пользователя Улыбка
 
 Top
CodeWarrior
Отправлено: 27 Марта, 2009 - 21:09:00
Post Id



Частый гость


Покинул форум
Сообщений всего: 157
Дата рег-ции: Янв. 2009  
Откуда: Албания


Помог: 0 раз(а)
JustUserR пишет:
Ну положим такая ситуация - пользователь авторизирован кукой которая работает некое время (Особенно если стоят галки типа запомнить меня за этим компьютером)
Потом полтьзователь заходит на закерский сайт (А этто сайт вообще может грузиться гденибудть в скрытом iframe) и GET/POST формой дает запрос на тот изначатальный сайт а так как кука никуда не делась то запрос выполняется с правами пользователя

Ааа уже немного понимаю. И как от этого спасает скрытое поле? Как это организовывается?
 
 Top
Гость
Отправлено: 28 Марта, 2009 - 12:03:04
Post Id


УДАЛЁН
Ну скрытое поле в данном случае спасает так - для каждой страницы отданной настоящим сервером во всех запросах генерируется случайное поле и сопоставляется данном пользователю запросу и если оно не совпадает то запрос не выполняется
 
 Top
Поиск в теме | Версия для печати
Страниц (1): [1]
Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)
« Программирование на PHP »


Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.
  



Powered by PHP  Powered By MySQL  Powered by Nginx  Valid CSS  RSS

 
Powered by ExBB FM 1.0 RC1. InvisionExBB