 Fake POST, Bezpieczeństwo |
  |
| Fake POST, Bezpieczeństwo |
 10.02.2012, 23:59:56
Post
#1
|
|
 Grupa: Zarejestrowani Postów: 2 707 Pomógł: 290 Dołączył: 16.12.2008 Skąd: Śląsk Ostrzeżenie: (0%) 
 |
Miałem chwilkę czasu i przetestowałem pewną rzecz, która mnie w ostatnich dniach mocno nurtowała.
Kolwalski jest administratorem serwisu. Serwis ten jest np. transakcyjny, pozwala na dodanie przez Kowalskiego określoną liczbę punktów danemu użytkownikowi. Tworzę na mojej stronie formularz identyczny z formularzem dodającym transakcje w danej aplikacji, uzupełniam jego VALUE w konkretne dane takie jak np. nazwa użytkownika, kwotę transakcji. Umieszczam JS, który automatycznie wyśle formularz po wejściu na stronę. Całą stronę umieszczam w niewidocznym iframe. Piszę do Kowalskiego aby odwiedził moją podstronę gdzie wcześniej ukryłem iframe. Kowalski wchodzi i formularz zostaje wysłany w iframe. Jeżeli kowalski był zalogowany to dostałem np. 10 000 punktów niespodzianki. Czy ten rodzaj "ataku" ma jakąś nazwę? W jaki sposób zabezpieczyć aplikację przez fałszywymi HTTP POST? W jaki sposób zabezpieczyć się jako administrator, który korzysta z aplikacji, która nie jest odporna na powyższe działanie? -------------------- |
 |
 
|
|
11.02.2012, 00:10:34
Post
#2
|
|
 Grupa: Zarejestrowani Postów: 6 476 Pomógł: 1306 Dołączył: 6.08.2006 Skąd: Kraków Ostrzeżenie: (0%)
|
Google: CSRF
|
|
|
|
|
11.02.2012, 01:39:20
Post
#3
|
|
 Grupa: Zarejestrowani Postów: 1 333 Pomógł: 137 Dołączył: 25.03.2008 Skąd: jesteś?? Ostrzeżenie: (0%)
|
Najprostszą i chyba jedną z najbezpieczniejszych jest przy logowaniu zapisanie "id logowania" do sesji i dodawanie w każdym formularzu ukrytego pola z tą informacją, a po odebraniu danych z forma sprawdzenie zgodności liczb. Jeśli chcesz mieć większe bezpieczeństwo generuj przy każdym logowaniu jakiś ciąg np. 32 znaków, czas logowania ustaw na "minimalny" który jest rozsądny. Dla fanatyków można zmieniać ten "klucz" co daną jednostkę czasu lub co x żądań.
Cała metoda będzie bezpieczna do czasu gdy ktoś nie pozna owego klucza, a to do łatwych nie będzie należeć. ;-) -------------------- Mój blog - o wszystkim i niczym ale zazwyczaj związane z informatyką! ;-)
Githube Usługi spawalnicze i monterskie | Park linowy Lublin i Okunince |
|
|
|
|
11.02.2012, 15:02:36
Post
#4
|
|
|
Grupa: Zarejestrowani Postów: 2 707 Pomógł: 290 Dołączył: 16.12.2008 Skąd: Śląsk Ostrzeżenie: (0%)
|
Bardziej ten temat poruszyłem jako użytkownik aniżeli programista.
Na próbę po prostu zaataktowałem sam siebie i nie miałem z tym żadnych problemów... Skrypt zamknięty i jedyne rowiązanie to liczenie na autorów sysystemu. W tym momencie jestem ciekaw czy kiedyś byłem faktycznie ofiarą tego ataku - nie zostawia on zbyt wiele śladów.. -------------------- |
|
|
|
|
13.02.2012, 10:48:59
Post
#5
|
|
|
Grupa: Zarejestrowani Postów: 1 233 Pomógł: 87 Dołączył: 6.03.2009 Ostrzeżenie: (40%) 
|
Lektura obowiązkowa: https://www.owasp.org/index.php/Category:Attack
Ten post edytował wNogachSpisz 13.02.2012, 10:50:20 |
|
|
|
|
|
Wersja Lo-Fi | Aktualny czas: 14.08.2025 - 04:46 |
