Как защититься от подобного рода атак.

Здравствуйте. Даже не знаю атака ли это, но в общем вопрос, как от этого защититься (это полностью мной вымышленная история):
Допустим на сайте forum.ru есть файл delete.php , который удаляет из базы запись с ID присланным в $_POST['id'] . Этот файл загрузится только в том случае, если админ авторизован.
И так, админ авторизован, ходит себе по админке, администрирует (удаляет). И тут ему на email приходит письмо, мол привет, посмотри сайт. А сайт примерно такой:

Это называется CSRF.
Обычно все лепят костыли из одноразовых токенов в ссылках админки.
На самом деле можно сделать проще - тупо проверять реферер.
(Добавление)
Тут говорят мне, что реферер можно подделать
Не забывайте на чьей машине! На машине админа, который клацает CSRF-ссылку!
Это невозможно!

-----
Шта? Репозиторий?

DeepVarvar, большое спасибо, теперь хоть знаю как это называется)
Я сам думал рефер проверять, но его ведь и подделать вроде как можно?
Одноразовые токены - их еще надо записывать куда-то, потом сверять (в сессию или бд)..
Получается что я придумал нормальный, надежный вариант?
(Добавление)
понятно, вопрос про реффер отпал)

(Отредактировано автором: 24 Августа, 2013 - 19:24:08)

так не давай удалять неавторизованым пользователям
какие проблеммы

-----
Бесплатная система складского учета с открытым кодом https://zippy[dot]com[dot]ua/zstore

caballero ты не понял прикола, например, вот ссылка, представь что ты авторизован у меня в админке. Что будет если ты клацнешь по ней прямо сейчас:

http://demo[dot]deep-cms[dot]ru/admin/users/delete?id=2

Доступы: admin admin

-----
Шта? Репозиторий?

caballero, я написал же, что все авторизованы. Т.е. для сервера это выглядит так, как буд-то пришел такой-себе нормальный запрос с формы.
Впрочем читаю я про CSRF - так я и думал, надо сначала что-то рандомное создать, куда-то его сохранить, и потом сверять приходит ли этот рандомный ключ. Единственная разница 'моего способа' и способа которые все юзают - это то, что у меня создается ключ для пользователя (при регистрации) и потом каждый раз он сверяется, т.е. ключ постоянный а не одноразовый.

(Отредактировано автором: 24 Августа, 2013 - 19:34:53)

Обычно для этого hidden поле создают у формы с токеном.

_Dark_, складывается ощущение что Вы зашли сюда просто чтобы написать.
Ведь видно же что уже все решили.

-----
Шта? Репозиторий?

DeepVarvar, ага, только у меня на своем фронте неприятность появилась, гости тоже оказывается писать могут
Т.е. использовать ключ для зарегистрированного пользователя не выйдет. Система на сайте no session (никаких сессий, все через бд), и их заводить только для этого тоже не хочется. Остается сначало записывать ключ в БД, а потом искать его. Это + еще одна операция с БД.
Естественно надо еще задачу по крону, чтобы очищать старые не нужные ключи, в общем полный ппц.

DeepVarvar, у меня появился вопрос. А почему токен является костылем?
Допустим есть таже страница
1 - http://demo[dot]deep-cms[dot]ru/admin/users/delete?id=2
и есть страница, например(ну или предыдущая, только с POST запросом).
2 - http://demo[dot]deep-cms[dot]ru/admin/users/delete?id=2&true
Первая страница создает токен, допустим из md5() в поле hidden(можно даже какой-нибуть алгоритм с солью придумать или заносить поле в базу, а при удалении удалять) и передает на вторую страницу. На второй странице это дело проверяется. Злоумышленник не сможет просто напросто подделать токен и отправляя прямой post запрос, он получит кукиш.
Так почему костыль то, если способ является безопасным и довольно простым?

Потому, что гораздо правильнее использовать то, что уже есть в окружении сервера, чем лепить свои костыли при написании приложения.
Потому, что проверить реферер непосредственно на месте гораздо проще, чем следить за обновлениями токена на предыдущей странице и на текущей, бессмысленно нагружая свое приложение.
(Добавление)
И чей проще то?

-----
Шта? Репозиторий?

Мне тоже интересна эта тема




Так юзер удалиться с id два, админ авторизован и может удалять и это нормально...

у ТС непонятное изречение
тут скорее наоборот, криворукий пользователь удалил случайно что то на сайте криворукого админа

это конечно не утверждение, я просто не понимаю о чем речь и прошу мне объяснить кому не лень))

если нет доступа к админке, левый пользователь не авторизован, как он может провернуть подобное

(Отредактировано автором: 25 Августа, 2013 - 01:53:41)

Так ты попробуй, доступы я дал. И это не нормально. Представь - ты админ мега-крутого форума и тебе я присылаю письмо на ящик, а ты их получаешь в день десятки, устал уже получать, а я пишу мол:

Посмотри что творится на твоем мега-форуме дядя!

Ты же даже смотреть не будешь на ссылку, так клацнешь.
А там будет веселье такое, что ты своим кликом по ссылке удалишь чей-нибудь акк, например лучшего модера. И это еще самое безобидное, что я тебе могу показать.

-----
Шта? Репозиторий?

Так откуда злоумышленник узнает ссылку? Максимум если товарищь - подсмотрит и то врядли будет такое делать если проект серьезный.. ладно пусть даже угадает

если такой страх есть, то что мешает добавить подтверждение при удалении "Вы уверены что хотите удалить такую то запись" ?

Откуда угодно - ты же форум писать с нуля не будешь, а магазин? Тоже нет, значит узнав на каком движке работает твой ресурс я смогу писать любые корректные ссылки в твою админку. И не только ГЕТ, но и ПОСТ.
(Добавление)
Еще один костыль и лишняя страница.
(Добавление)
И вот на протяжении уже пятнадцати сообщений я тут распинаюсь перед каждым вновь зашедшим про одно и то же.
Мне кажется Вам лень читать то что написано выше.

Я отсюда сливаюсь..

-----
Шта? Репозиторий?