Подделка межсайтовых запросов | это... Что такое Подделка межсайтовых запросов? (original) (raw)
 |
|---|
CSRF (англ. Сross Site Request Forgery — «Подделка межсайтовых запросов», также известен как XSRF) — вид атак на посетителей веб-сайтов, использующий недостатки протокола HTTP. Если жертва заходит на сайт, созданный злоумышленником, от её лица тайно отправляется запрос на другой сервер (например, на сервер платёжной системы), осуществляющий некую вредоносную операцию (например, перевод денег на счёт злоумышленника). Для осуществления данной атаки, жертва должна быть авторизована на том сервере, на который отправляется запрос, и этот запрос не должен требовать какого-либо подтверждения со стороны пользователя, который не может быть проигнорирован или подделан атакующим скриптом.
Данный тип атак, вопреки распространённому заблуждению, появился достаточно давно: первые теоретические рассуждения появились в 1988 году[1], а первые уязвимости были обнаружены в 2000 году. A cам термин ввел Peter Watkins в 2001 году.
Основное применение CSRF - вынуждение выполнения каких-либо действий на уязвимом сайте от лица жертвы (изменение пароля, секретного вопроса для восстановления пароля, почты, добавление администратора и т.д.). Так же с помощью CSRF возможна эксплуатация пассивных XSS, обнаруженных на другом сервере.
Защита
Наиболее простым для понимания способом защиты от данного типа атак, является механизм, когда веб-сайты должны требовать подтверждения большинства действий пользователя и проверять поле HTTP_REFERER, если оно указано в запросе. Но этот способ может быть небезопасен, и использовать его не рекомендуется[2].
Другим распространённым способом защиты является механизм, при котором с каждой сессией пользователя ассоциируется дополнительный секретный ключ, предназначенный для выполнения запросов. Пользователь посылает этот ключ среди параметров каждого запроса, и перед выполнением каких-либо действий сервер проверяет этот ключ. Преимуществом данного механизма, по сравнению с проверкой Referer, является гарантированная защита от атак данного типа. Недостатком же являются: требование возможности организации пользовательских сессий и требование динамической генерации HTML-кода активных страниц сайта.
См. также
Примечания
- ↑ Cross-Site Request Forgery — много шума из-за ничего, Securitylab.ru, 13 марта 2007 г
- ↑ Скрываем Referer при проведении CSRF, InSys, (Перевод Stripping Referrer for fun and profit (англ.), Krzysztof Kotowicz)
Ссылки
- Client side trojan issue (англ.)
- CSRF на vkontakte.ru, habrahabr.ru — также большое обсуждение
- CSRF – атаки. (Cross-Site Request Forgery), inattack.ru — подробное техническое описание
- The Cross-Site Request Forgery (CSRF/XSRF) FAQ (англ.), cgisecurity.com — подробное англоязычное описание
- Цикл статей о CSRF, intsystem.org