Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757
Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770
Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737 Форумы портала PHP.SU :: Нужно ли сверять токен в БД? [5]
Покинул форум
Сообщений всего: 378
Дата рег-ции: Сент. 2014
Помог: 10 раз(а)
[+]
DeepVarvar пишет:
Других задевать можно, и меня в том числе, только аргументированно.
Ок, задеваю. Где форум, который решили писать своими силами ибо все *** какие программисты и ставить готовое решение, как ты там сказал - "энтерпрайзозависимость" ;) (Добавление)
teddy пишет:
А токен ведь находится в таком же инпуте как и остальные, он тоже осядет в айфрейм, будет отправлен на сервер, и пройдет проверку. Нет?
Задача атакующего - отправить под логином атакуемого те данные, которые ему выгодны и нужны.
В вашем случае это будет как албанский вирус. Типа, пожалуйста, введите вот в эту красивую форуму номер моего счета и нажмите отправить. В общем и такое бывает, но это уже ближе к социальной инженерии, чем csrf.
А в случае csrf - атакующему нахрен не нужна форма загруженная с оригинального сайта. Ибо он ее заполнить не сможет из-за защиты браузера.
Покинул форум
Сообщений всего: 1462
Дата рег-ции: Апр. 2013
Помог: 91 раз(а)
MiksIr пишет:
Задача атакующего - отправить под логином атакуемого те данные, которые ему выгодны и нужны.
И в чем вы заметили противоречие между моим вопросом и данным утверждением?
Все то же самое, только не автоматически.
MiksIr пишет:
А в случае csrf - атакующему нахрен не нужна форма загруженная с оригинального сайта.
Нет. CSRF не значит "атакующему нахрен не нужна форма".
Видимо просто у вас в подсознании отложился шаблонный вариант CSRF.
Вариантов, увы, вы так и не предложили. Точнее сказали про токены в форме, которые не являются решением проблемы, о которой шла речь. А наличие проблемы - признали
MiksIr
Отправлено: 26 Ноября, 2015 - 19:58:49
Забанен
Покинул форум
Сообщений всего: 378
Дата рег-ции: Сент. 2014
Помог: 10 раз(а)
[+]
Во-первых, то, о чем вы говорите - это clickjacking. Эту атаку отделяют от CSRF. Так что мух от котлет отделяем.
Во-вторых, не, проблемы не вижу, ибо она очень надуманная.
Надуманная из-за этого: "заполняете форму" - какую форму, что они вводят, почему это приводит к выгоде атакующего.
Но в основном из-за этого "Браузер старый, не понимает x frame options" - огромное число способов защит базируется на same origin policy и прочих способах защит, которые завязаны на клиентский браузер. Как и огромное количество атак базируется на багах в этих браузерах, позволяющих преодолевать ограничения. Именно по-этому защита частей сайта, которые могут привести к финансовым потерям клиентов - многоуровневая, но csrf/clickjacking остаются одним из уровней защиты.
Покинул форум
Сообщений всего: 1462
Дата рег-ции: Апр. 2013
Помог: 91 раз(а)
MiksIr пишет:
Во-первых, то, о чем вы говорите - это clickjacking.
Почему сразу clickjacking и только он? Да, есть такое понятие и в данном контексте текущий вопрос очень напоминает clickjacking из за замазывания UI.
Обычно когда говорят о clickjacking, в качестве примеров обычно выступают просто click-и по ссылочкам, кнопочкам, а-ля лайки.
Хочу сказать, установленный в качестве защиты от CSRF токен в форме, не всегда может защитить. Надеюсь вы понимаете о чем я. Если кратко - то форма есть, токен есть, и дыра есть.
MiksIr пишет:
огромное число способов защит базируется на same origin policy и прочих способах защит
Да никто не спорит Я ведь уже говорил что верятность не такая большая, но тем не менее есть.
SAD
Отправлено: 26 Ноября, 2015 - 20:35:37
Постоянный участник
Покинул форум
Сообщений всего: 2508
Дата рег-ции: Май 2009 Откуда: Днепропетровск, Украина
Помог: 75 раз(а)
Я думаю, пора уже закрывать тему. ТС слился, а вы срач разводите.
DeepVarvar
Отправлено: 26 Ноября, 2015 - 20:43:05
Активный участник
Покинул форум
Сообщений всего: 10377
Дата рег-ции: Дек. 2008 Откуда: Альфа Центавра
Помог: 353 раз(а)
Садик, этот срач полезен.
Я бы даже сказал ОЧЕНЬ полезен.
Покинул форум
Сообщений всего: 378
Дата рег-ции: Сент. 2014
Помог: 10 раз(а)
[+]
teddy пишет:
Обычно когда говорят о clickjacking, в качестве примеров обычно выступают просто click-и по ссылочкам, кнопочкам, а-ля лайки.
Ну так у вас клик по замазанной кнопке сабмита. Как раз вполне себе clickjacking.
teddy пишет:
Хочу сказать, установленный в качестве защиты от CSRF токен в форме, не всегда может защитить. Надеюсь вы понимаете о чем я. Если кратко - то форма есть, токен есть, и дыра есть.
Токен не защищает от clickjacking. Не защищает от нарушений same origin policy. У него есть вполне определенные задачи, которые он выполняет - защищает именно от csrf. Ну в принципе можно говорить, что "токен + система ограничивающих политик в браузере = защита от csrf". Но это будет формализм, ибо эксплуатация уязвимостей бразуера - по сути своей атака другого вида, хоть и результатом может являться csrf. Как-то так.
По-этому, если вы спрашиваете, как защититься от clickjacking - то x-frame. Если у вас есть подозрение, что много ваших клиентов пользуются устаревшим ПО - нужно уже смотреть на него. Может банальное top != window сработает даже. Или запрет серверу работать с определенным набором user-agent.
Если спрашиваем, как защититься от csrf - то токен.
А те, кто будет действительно погружаться во все эти вопросы - ну разберутся как-то уже в нюансах.
----- self-banned
SAD
Отправлено: 26 Ноября, 2015 - 20:54:02
Постоянный участник
Покинул форум
Сообщений всего: 2508
Дата рег-ции: Май 2009 Откуда: Днепропетровск, Украина
Помог: 75 раз(а)
То, что вы тут много пишите, не значит, что оно чем - то полезно
MiksIr
Отправлено: 26 Ноября, 2015 - 20:55:04
Забанен
Покинул форум
Сообщений всего: 378
Дата рег-ции: Сент. 2014
Помог: 10 раз(а)
[+]
SAD пишет:
То, что вы тут много пишите, не значит, что оно чем - то полезно
Поверьте, то, о чем пишете сейчас вы - еще менее полезно.
Покинул форум
Сообщений всего: 1462
Дата рег-ции: Апр. 2013
Помог: 91 раз(а)
MiksIr пишет:
хоть и результатом может являться csrf
Я рад что мы друг друга поняли
MiksIr пишет:
Может банальное top != window сработает даже
Может и сработает, а может и не сработает. Есть sandbox, есть отключенный javascript.
MiksIr пишет:
Или запрет серверу работать с определенным набором user-agent.
Не привык доверять подобным данным...
SAD
Срача тут нет, мы просто беседуем
Но в целом насчет стопа соглашусь, топ уже сильно напоминает кашу и мусолится почти одно и то же, только с разной формулировкой и легкими апдейтами))
Все гости форума могут просматривать этот раздел. Только зарегистрированные пользователи могут создавать новые темы в этом разделе. Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.