Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> token - tablica routingu
Omenomn
post
Post #1





Grupa: Zarejestrowani
Postów: 77
Pomógł: 0
Dołączył: 4.02.2014

Ostrzeżenie: (20%)
X----

Cześć, chcę zapytać, co myślicie o zabezpieczeniu akcji w cmsie w taki sposób:

Cytat
Session riding

(inne nazwy to: cross-site request forgery ? CSRF, one click attack, session hijacking)

Celem ataku session riding jest wykonanie złośliwego kodu z uprawnieniami zalogowanego użytkownika. Może to doprowadzić do kradzieży danych użytkownika, zamówienie przez niego jakiegoś produktu (w przypadku sklepu), lub w przypadku wykonania kodu przez administratora ?dostęp? do panelu administratora.

Zabezpieczenie przed CSRF może wydawać się trudne lecz istnieje kilka sposobów by tego dokonać. Dwa najciekawsze opierają się na tokenach, czyli losowo wygenerowanych ciągach znaków.

Zasada działania pierwszego sposobu opiera się na umieszczeniu dodatkowe pola w każdym znaczącym formularzu. W polu tym będzie znajdował się wygenerowany token, który po wysłaniu formularza będzie sprawdzany z tokenem zapisanym np. w sesji.

Drugi sposób jest ?bardziej skomplikowany?, a wraz z tym lepszy. Polega on na stworzeniu ?tablicy routingu?. Mianowicie chodzi o tabelkę w bazie danych która będzie zawierała w sobie zestawienie tokenów oraz prawdziwych adresów. Token powinien być generowany inny dla każdego użytkownika. Dzięki temu napastnik nie będzie w stanie wywołać akcji z uprawnieniami zalogowanego użytkownika.


http://www.sklep.pl/?producent=jakis&p...y&akcja=kup


http://www.sklep.pl/?token=djJa76ashHSB

Opis: Zmiana wyglądów adresów po użyciu ?tablicy routingu?


źródło: www.beldzio.com/bezpieczenstwo-mechanizmu-sesji

Czy można jakoś inaczej rozwiązać sprawę tokenów, nie chcę korzystać z captcha.

Głównie chodzi o usuwanie zawartości strony, ale w sumie można by to zastosować chyba wszędzie.

Ten post edytował Omenomn 6.06.2015, 15:08:29
Go to the top of the page
+Quote Post

Posty w temacie
- Omenomn   token - tablica routingu   6.06.2015, 15:07:47
- - Comandeer   Hm… A gdzie w powyższym tekście napisano o C...   6.06.2015, 15:12:14
- - Omenomn   mówię, że nie chcę korzystać, a nie, że napisano. ...   6.06.2015, 15:38:15
- - Comandeer   Zasada jest podobna: generujesz token i zapisujes...   6.06.2015, 16:02:24
- - Omenomn   a mogę zapisać token w bazie danych w zamiast sesj...   6.06.2015, 17:13:23
- - Comandeer   I pobierałbyś dla każdego żądania? Raczej średnio ...   6.06.2015, 17:25:10
- - Omenomn   ta tablica routingu tez mi się wydaje teraz średni...   7.06.2015, 16:17:45
- - Comandeer   Jeśli ktoś zmieni linka to token już będzie raczej...   10.06.2015, 00:04:58

« Następny starszy · PHP · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 5.10.2025 - 18:00
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn