Нужно ли сверять токен в БД?

Вот и я оп том же ))

-----
Шта? Репозиторий?

Ок, задеваю. Где форум, который решили писать своими силами ибо все *** какие программисты и ставить готовое решение, как ты там сказал - "энтерпрайзозависимость" ;)
(Добавление)

Задача атакующего - отправить под логином атакуемого те данные, которые ему выгодны и нужны.

В вашем случае это будет как албанский вирус. Типа, пожалуйста, введите вот в эту красивую форуму номер моего счета и нажмите отправить. В общем и такое бывает, но это уже ближе к социальной инженерии, чем csrf.

А в случае csrf - атакующему нахрен не нужна форма загруженная с оригинального сайта. Ибо он ее заполнить не сможет из-за защиты браузера.

(Отредактировано автором: 25 Ноября, 2015 - 23:10:26)

-----
self-banned

нужно. точка.
Растарахтелись тут.

-----
Чем больше узнаю, тем больше я не знаю.

http://phpsu[dot]deep-host[dot]ru/ но это не актуальная версия, сделано уже гораздо больше.
Да-да, и это тоже. Так от чего же спасает токен?

-----
Шта? Репозиторий?

От поста заполненной формы с action=атакуемый_сайт
(Добавление)

Да кого волнует сколько сделано. Когда он будет - вот что важно. С функционалом хотя бы близко к существующим решениям.

-----
self-banned

Увидишь.

-----
Шта? Репозиторий?

И в чем вы заметили противоречие между моим вопросом и данным утверждением?
Все то же самое, только не автоматически.

Нет. CSRF не значит "атакующему нахрен не нужна форма".
Видимо просто у вас в подсознании отложился шаблонный вариант CSRF.

Вариантов, увы, вы так и не предложили. Точнее сказали про токены в форме, которые не являются решением проблемы, о которой шла речь. А наличие проблемы - признали

Во-первых, то, о чем вы говорите - это clickjacking. Эту атаку отделяют от CSRF. Так что мух от котлет отделяем.

Во-вторых, не, проблемы не вижу, ибо она очень надуманная.

Надуманная из-за этого: "заполняете форму" - какую форму, что они вводят, почему это приводит к выгоде атакующего.

Но в основном из-за этого "Браузер старый, не понимает x frame options" - огромное число способов защит базируется на same origin policy и прочих способах защит, которые завязаны на клиентский браузер. Как и огромное количество атак базируется на багах в этих браузерах, позволяющих преодолевать ограничения. Именно по-этому защита частей сайта, которые могут привести к финансовым потерям клиентов - многоуровневая, но csrf/clickjacking остаются одним из уровней защиты.

(Отредактировано автором: 26 Ноября, 2015 - 19:59:38)

-----
self-banned

Почему сразу clickjacking и только он? Да, есть такое понятие и в данном контексте текущий вопрос очень напоминает clickjacking из за замазывания UI.
Обычно когда говорят о clickjacking, в качестве примеров обычно выступают просто click-и по ссылочкам, кнопочкам, а-ля лайки.
Хочу сказать, установленный в качестве защиты от CSRF токен в форме, не всегда может защитить. Надеюсь вы понимаете о чем я. Если кратко - то форма есть, токен есть, и дыра есть.


Да никто не спорит Я ведь уже говорил что верятность не такая большая, но тем не менее есть.

Я думаю, пора уже закрывать тему. ТС слился, а вы срач разводите.

Садик, этот срач полезен.
Я бы даже сказал ОЧЕНЬ полезен.

-----
Шта? Репозиторий?

Ну так у вас клик по замазанной кнопке сабмита. Как раз вполне себе clickjacking.


Токен не защищает от clickjacking. Не защищает от нарушений same origin policy. У него есть вполне определенные задачи, которые он выполняет - защищает именно от csrf. Ну в принципе можно говорить, что "токен + система ограничивающих политик в браузере = защита от csrf". Но это будет формализм, ибо эксплуатация уязвимостей бразуера - по сути своей атака другого вида, хоть и результатом может являться csrf. Как-то так.

По-этому, если вы спрашиваете, как защититься от clickjacking - то x-frame. Если у вас есть подозрение, что много ваших клиентов пользуются устаревшим ПО - нужно уже смотреть на него. Может банальное top != window сработает даже. Или запрет серверу работать с определенным набором user-agent.

Если спрашиваем, как защититься от csrf - то токен.

А те, кто будет действительно погружаться во все эти вопросы - ну разберутся как-то уже в нюансах.

-----
self-banned

То, что вы тут много пишите, не значит, что оно чем - то полезно

Поверьте, то, о чем пишете сейчас вы - еще менее полезно.

(Отредактировано автором: 26 Ноября, 2015 - 20:55:17)

-----
self-banned

Я рад что мы друг друга поняли

Может и сработает, а может и не сработает. Есть sandbox, есть отключенный javascript.

Не привык доверять подобным данным...

SAD
Срача тут нет, мы просто беседуем
Но в целом насчет стопа соглашусь, топ уже сильно напоминает кашу и мусолится почти одно и то же, только с разной формулировкой и легкими апдейтами))

(Отредактировано автором: 26 Ноября, 2015 - 21:08:27)