powered by simpleCommunicator - 2.0.30     © 2024 Programmizd 02
Map
Форумы / Java [игнор отключен] [закрыт для гостей] / защита от CSRF через токены.
25 сообщений из 94, страница 2 из 4
защита от CSRF через токены.
    #40123657
Андрей Панфилов
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Stanislav Bashkyrtsev
;)


они неправы:
- в спринге кука зовется XSRF-TOKEN, а заголовок X-XSRF-TOKEN, мы же здесь про жаву и спринг, поэтому нет оснований не доверять спрингу
- можно еще воспользоваться демагогическим приемом и обоссать приведенные источники информации: если вы попробуете найти информацию про shell injection, довольно распространенную уязвимость, то в этих источниках вы не обнаружите упоминания о том, что CR/LF - это тоже опасные символы, что само по себе дискредитирует эти источники
...
Рейтинг: 0 / 0
защита от CSRF через токены.
    #40123718
Leonid Kudryavtsev
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Может я туплю, но вроде же кросс домен запросы (и куки) давным-давно запретили. И если специальных действий не предпринимать (если сайт Сбера специально на своем сайте не выставил, что разрешает кросс домен запросы на сайт хакера), то фиг что у хакеров получится.
...
Рейтинг: 0 / 0
защита от CSRF через токены.
    #40123746
PetroNotC Sharp
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Leonid Kudryavtsev,
Запретить программистам невозможно.
Появилось куча обходов данного запрета сервера.
Дело ведь в смысле атаки. Этот тип атаки использует доверие юзверя браузеру.
А браузер например загружая картинки отправит такой запрос
Код: java
1.


Ты же понимаешь что картинки разрешено с другого домена.
То есть защита комплексная должна быть.
...
Рейтинг: 0 / 0
защита от CSRF через токены.
    #40123749
questioner
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Гость
PetroNotC Sharp
questioner
Кажется суть в том, что мы по сути в куках имеем только JSessionId.
это первый уровень. Его обходит сабж.
questioner
Само запоминание токена происходит на стороне сервера. А бэкенд ждёт токен в конкретном поле. У злоумышленника нет возможности достать ничего из сессии. Таким образом он не может достать из сессии значение этого токена.
ты про соль слышал?
Достаточно серверу и клиенту работать с солью и не твоего хака по сабжу.

Я не понял. Я что то не так написал? Давай без завуалированных ответов.

MFA, это оффтоп
...
Рейтинг: 0 / 0
защита от CSRF через токены.
    #40123750
PetroNotC Sharp
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Есть еще один фактик.
Тут есть много любителей получать данные сайта не get'ом а post.
Ну в первую очередь стас конечно)).
Это тоже первый путь к атакам по сабжу.
...
Рейтинг: 0 / 0
защита от CSRF через токены.
    #40123751
PetroNotC Sharp
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
questioner,
Дак ты сам молчишь.
— Между прочим, Вы меня не так поняли!
— Да как же тебя понять, кoли ты ничего не говоришь?
...
Тебе сказал что на каждый запрос идет отправка приготовленных РАЗНЫХ токенов.
Ответ будет про атаку?
...
Рейтинг: 0 / 0
защита от CSRF через токены.
    #40123754
questioner
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Гость
PetroNotC Sharp
questioner,
Дак ты сам молчишь.
— Между прочим, Вы меня не так поняли!
— Да как же тебя понять, кoли ты ничего не говоришь?
...
Тебе сказал что на каждый запрос идет отправка приготовленных РАЗНЫХ токенов.
Ответ будет про атаку?


Что это за поток сознания... Можешь сформулировать свои мысли ?
...
Рейтинг: 0 / 0
защита от CSRF через токены.
    #40123755
PetroNotC Sharp
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
questioner,
Могу конечно.
Первое - ты не отвечаешь на вопросы заданные тебе
22415312
Где ответ?
...
Рейтинг: 0 / 0
защита от CSRF через токены.
    #40123756
PetroNotC Sharp
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
questioner,
Вторая подсказка
...
Рейтинг: 0 / 0
защита от CSRF через токены.
    #40123759
Sergunka
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Stanislav Bashkyrtsev
Sergunka
Токен зависит от того какой протокол Вы желаете использовать обычно пользуются OAuth 2 https://oauth.net/2/

Обычно токен хранится в сервер сессии и дохнет вместе с сессией. Если это хозяйство класть в куку, то да есть вариант взлома хотя и есть вариант взлома по сессии так же. Основной ограничитель это время сессии и токена. Часто токен может быть использован только один раз к примеру тоже хорошо работает.
Причем тут OAuth2? CSRF token != Oauth2 token.


Да я что-то протупил. Токеном в CSRF никогда не пользовался даже забыл, что он там есть. Обычно фреймворк просто позволяет чекнуть бокс и достаточно.
...
Рейтинг: 0 / 0
защита от CSRF через токены.
    #40123760
Leonid Kudryavtsev
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
PetroNotC Sharp

Ты же понимаешь что картинки разрешено с другого домена.
То есть защита комплексная должна быть.

у куков вроде область видимости определяется

чем картинка с другого домена (и как она оказалась на сайте сбербанка?) может помочь своровать куки - не понимаю
...
Рейтинг: 0 / 0
защита от CSRF через токены.
    #40123761
Фотография mayton
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
С развитием session/local Storage нам недостаточно будет обсуждать печенюшки. Надо будет
те-же самые проверки сделать и еще для ряда технологий и доказать что они также безопасны
для пересечений границ доменов.
...
Рейтинг: 0 / 0
защита от CSRF через токены.
    #40123773
Андрей Панфилов
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Leonid Kudryavtsev
Может я туплю, но вроде же кросс домен запросы (и куки) давным-давно запретили. И если специальных действий не предпринимать (если сайт Сбера специально на своем сайте не выставил, что разрешает кросс домен запросы на сайт хакера), то фиг что у хакеров получится.


CORS имеет весьма посредственное отношение к XSRF. XSRF - оно про возможность выполнять действия от имени жертвы на ресурсе где жертва "аутентифицирована", например если начинать с азов, то вот такой вот серверный код:

Код: java
1.
2.
3.
4.
5.
6.
7.
8.
@Autowired
DataSource dataSource;

public void sql(@RequestParam("sql") String sql) {
    try (Connection connection = dataSource.getConnection()) {
        connection.prepareStatement(sql).execute();
    }
}



в самом простом случае позволяет атакующему подсовывать жертве ссылки вида http://victim.resource/api?query=..., что в свою очередь позволит атакующему осуществлять какие-то манипуляции с БД (можно пользователя себе создать, можно права выдать, в конце концов можно тупо все разломать). Подсовывать можно разными способами: кинуть в почту под видом картинки (т.е. в img обернуть), в мессенжер, разместить на другом ресурсе, куда жертва любит ходить и пр., вот пример XSRF на скуле: 6874052 - очевидно, что в данном случае CORS вообще здесь никаким боком. Кто-то может сказать что "для защиты" нужно использовать POST вместо GET, и тогда все будет пучком, но будет неправ - атакующий может на своем ресурсе нарисовать форму "жмякни кнопку и выйграй мильен" и эта форма будет отправлять данные "куда нужно" - вот здесь можно хоть как-то притянуть за уши CORS, который запретит автоматически самбитить такую форму из JS, но если форму нарисовать покрасивее и денег пообещать побольше, то никто не гарантирует что жертва-таки не нажмет кнопку - по факту CORS снимает одно очко в CVSSv3 за счет User Interaction: Required. Общая же концепция защиты заключается в том, что мы при обработке запроса должны проверять, что ранее мы сами показали пользователю нечто, что может приводить к выполнению текущего запроса, самым элементарным вариантом здесь является проверка Referrer - даже на клиенте ничего городить не нужно, все сделает браузер, но защита на Referrer считается такой себе.
...
Рейтинг: 0 / 0
защита от CSRF через токены.
    #40123774
Андрей Панфилов
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
PetroNotC Sharp
на каждый запрос идет отправка приготовленных РАЗНЫХ токенов
нет там никаких разных токенов на каждый запрос - это очень сложно реализуемо, простой сценарий: пользователь одновременно в двух вкладках что-то делает, в этом случае не представляется возможным синхронизировать его действия чтобы гарантированно знать какой токен сейчас является валидным, другой сценарий: мы на страницу какие-то защищенные ресурсы пачкой выплевываем - там тоже последовательность не определена, в результате этих соображений напрашиваются такие варианты:
- токен либо постоянный в рамках сеанса (спринговая реализация)
- нужно где-то хранить неизвестное количество токенов (т.е. нужна сессия + у нас потенциальный DoS)
- нужно лепить что-то хитрое
...
Рейтинг: 0 / 0
защита от CSRF через токены.
    #40123785
PetroNotC Sharp
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Leonid Kudryavtsev
у куков вроде область видимости определяется
да. Но суть атаки не украсть куку. Конечная цель прорваться к API авторизованного. Или надеть его маску и чтобы вас ВПУСТИЛИ в банк.
После этого вы ищите дыры. Их же больше если вас пустили на порог. Правда?
Например стас После авторизации делает выборку post. Ставит фильтры таким образом.
Вот кто тестил установку фильтра от пользователя клиента банка?
Вот при фильтре select pass from table_user вполне можно утянуть всю базу клиентов.
На POST же выборка идет.

Leonid Kudryavtsev
и как она оказалась на сайте сбербанка

А) прошляпили
Б) залил хакер на первом этапе. На домене банка есть форум sql.ru))))

Leonid Kudryavtsev
чем картинка с другого домена

Принудительная загрузка файла .torrent
...
Мораль - выборка это get а не post
...
Имхо
...
Рейтинг: 0 / 0
защита от CSRF через токены.
    #40123787
PetroNotC Sharp
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Андрей Панфилов
нет там никаких разных токенов на каждый запрос - это очень сложно реализуемо,
-1
Я не понимаю что сложного в двух методах от самого банка. Скрипт.js ведь его родимого.
секрСтрокаТокен = приготовитьТокен();
отправитьЗапросБанк(секрСтрокаТокен);
...
Рейтинг: 0 / 0
защита от CSRF через токены.
    #40123789
PetroNotC Sharp
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
приготовитьТокен(){
- берем логин юзверя и добавляем время
Вася211231:17:15
- хешируем криптофункцией гост стрибог
DCFGKHGFHHJKKJGGHJKJHNKKJKJJJ
-все.
}
Что тут сложного я не понял.
На а добавка времени например есть в протоколе SAML как пример.
Воруй токен сколько угодно. Он протухнет.
...
Рейтинг: 0 / 0
защита от CSRF через токены.
    #40123791
Андрей Панфилов
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
PetroNotC Sharp
Я не понимаю

вранье - ты читать не умеешь.
...
Рейтинг: 0 / 0
защита от CSRF через токены.
    #40123792
PetroNotC Sharp
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Андрей Панфилов
PetroNotC Sharp
Я не понимаю

вранье - ты читать не умеешь.
вранье. Ты теоретик.
...
Рейтинг: 0 / 0
защита от CSRF через токены.
    #40123796
Андрей Панфилов
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
PetroNotC Sharp
вранье. Ты теоретик.

ну давай, блесни умением читать:
Андрей Панфилов
- токен либо постоянный в рамках сеанса (спринговая реализация)
- нужно где-то хранить неизвестное количество токенов (т.е. нужна сессия + у нас потенциальный DoS)
- нужно лепить что-то хитрое

а теперь попробуй объяснить как в спринге (в библиотеке), реализовать стой стиборг, чтобы оно еще и на заранее неизвестном клиенте оказалось. Дуй за туалетной бумагой и стирай портки раз обосрался.
...
Рейтинг: 0 / 0
защита от CSRF через токены.
    #40123822
PetroNotC Sharp
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Андрей Панфилов,
Как вы расстроились, когда я вернул вам ваше же обращение.
Держите себя. Вы нам нужны.
И разговор на дворовом сленге вам не подходит.
...
"Спринг головного мозга блин" (с)
Давай попробуем тебя понять.
- топик про спринг? У тс не было такого.
- ты хочешь про спринг или бут или либу security?
Правильно я понял что в спринге проблема взять из хидера http строку токен и потом взят алгорим стиборг на гитхабе?
Стиборг придумали "наши" в пику буржуанскому SHA. Вы правда за наших?)) :)
- вы в курсе что "неизвестный клиент" загружает код сервера?)))))
Давайте помедленнее отвечайте техническим языком)
...
Рейтинг: 0 / 0
защита от CSRF через токены.
    #40123831
Андрей Панфилов
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
PetroNotC Sharp
- топик про спринг? У тс не было такого.

это уже клиника...

questioner

Ну вот spring security https://docs.spring.io/spring-security/site/docs/5.0.x/reference/html/csrf.html#csrf-include-csrf-token-form

тут про форму пишут. Вроде как должно же работать.

ну и опять же вспоминаются времена, что чтобы мигрировать с одной версии спринга на другую включался этот CSRF и поначалу приходилось его выключать.


да топик про спринг, да ты читать не умеешь, да ты своей беспросветной тупостью засоряешь любой топик.
...
Рейтинг: 0 / 0
защита от CSRF через токены.
    #40123834
PetroNotC Sharp
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Андрей Панфилов,
Ты дальше то отвечай. Слабо?
...
Рейтинг: 0 / 0
защита от CSRF через токены.
    #40123835
PetroNotC Sharp
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Андрей Панфилов,
Если про спринг, то какой.
Если про спринг, то наверное фильтры ты слышал?
Ась?
...
Рейтинг: 0 / 0
защита от CSRF через токены.
    #40123837
PetroNotC Sharp
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Андрей Панфилов,
Заранее неизвестный клиент в веб проекте это пёрл)))))
Удачи тебе!
...
Рейтинг: 0 / 0
25 сообщений из 94, страница 2 из 4
Форумы / Java [игнор отключен] [закрыт для гостей] / защита от CSRF через токены.
Целевая тема:
Создать новую тему:
Автор:
Закрыть
Цитировать
Найденые пользователи ...
Разблокировать пользователей ...
Читали форум (0):
Пользователи онлайн (0):
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]