Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737
Форумы портала PHP.SU :: Csrf атаки. Anti-csrf token — панацея?

 PHP.SU

 Программирование на PHP, MySQL и другие веб-технологии
PHP.SU Портал     На главную страницу форума Главная     Помощь Помощь     Поиск Поиск     Поиск Яндекс Поиск Яндекс     Вакансии  Пользователи Пользователи


 Страниц (1): [1]   

> Без описания
Поиск в теме | Версия для печати
Redya69
Отправлено: 26 Января, 2015 - 22:43:00
Post Id


Новичок


Покинул форум
Сообщений всего: 23
Дата рег-ции: Дек. 2012  


Помог: 0 раз(а)

[+]
Вот столкнулся с проблемой Csrf атак на своём сайте.
Читаю как избавится от неё. Везде пишут, что применяют Anti-csrf token и что, якобы, гарантированно спасает.

Как сейчас производится атака:
Пользователю моего сайта присылают ссылку, он по ней переходит, производится POST запрос на мой сайт, где исполняются от его имени какие-то действия.

С Anti-csrf token: что мешает сначала сделать запрос на страницу, где этот токен генерируется, а потом точно также произвести POST запрос уже с этим же токеном?
 
 Top
IllusionMH
Отправлено: 26 Января, 2015 - 22:50:27
Post Id



Активный участник


Покинул форум
Сообщений всего: 4254
Дата рег-ции: Февр. 2011  
Откуда: .kh.ua


Помог: 242 раз(а)
Redya69, а он нужен только для операций авторизованных пользователей, и должен привязываться к учетке. Придется сначала зайти под юзером чтобы получить ключ валидный для него.
 
 Top
Redya69
Отправлено: 26 Января, 2015 - 23:01:40
Post Id


Новичок


Покинул форум
Сообщений всего: 23
Дата рег-ции: Дек. 2012  


Помог: 0 раз(а)

[+]
подсунуть ему ссылку. Он по ссылке переходит, там javascript выполняет два запроса из его браузера: один к странице, где форма с сгенерируемым токеном, второй с хак-POST запросом. Или я что-то не так понимаю?
 
 Top
Мелкий Супермодератор
Отправлено: 27 Января, 2015 - 07:38:01
Post Id



Активный участник


Покинул форум
Сообщений всего: 11926
Дата рег-ции: Июль 2009  
Откуда: Россия, Санкт-Петербург


Помог: 618 раз(а)
Redya69 пишет:
что мешает сначала сделать запрос на страницу, где этот токен генерируется, а потом точно также произвести POST запрос уже с этим же токеном?

То, что этот токен будет уже другой. И если в сессии нет токена или не тот - делаете пользователю отлуп "CSRF-токен устарел, отправьте форму ещё раз"
Токен генерируется на сессию или вовсе для каждой формы индивидуально.
(Добавление)
Redya69 пишет:
там javascript выполняет два запроса из его браузера: один к странице, где форма с сгенерируемым токеном

Каким образом? Кроссдоменный запрос. Если сами не сделаете глупость в настройке сервера - он не пройдёт.


-----
PostgreSQL DBA
 
 Top
Ch_chov
Отправлено: 27 Января, 2015 - 08:04:09
Post Id



Постоянный участник


Покинул форум
Сообщений всего: 2121
Дата рег-ции: Июль 2008  
Откуда: из города


Помог: 90 раз(а)
Цитата:
он нужен только для операций авторизованных пользователей, и должен привязываться к учетке
Не должен. Токен обычно создается на основе сессии. session_id + какая нибудь хэш функция.
 
 Top
IllusionMH
Отправлено: 27 Января, 2015 - 13:11:29
Post Id



Активный участник


Покинул форум
Сообщений всего: 4254
Дата рег-ции: Февр. 2011  
Откуда: .kh.ua


Помог: 242 раз(а)
Ch_chov, вероятно я не правильно выразился, но все равно есть связь "юзер - сессия - токен".
 
 Top
Поиск в теме | Версия для печати
Страниц (1): [1]
Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)
« HTTP и PHP »


Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.
  



Powered by PHP  Powered By MySQL  Powered by Nginx  Valid CSS  RSS

 
Powered by ExBB FM 1.0 RC1. InvisionExBB