|
защита от CSRF через токены.
|
|||
---|---|---|---|
#18+
Stanislav Bashkyrtsev ;) они неправы: - в спринге кука зовется XSRF-TOKEN, а заголовок X-XSRF-TOKEN, мы же здесь про жаву и спринг, поэтому нет оснований не доверять спрингу - можно еще воспользоваться демагогическим приемом и обоссать приведенные источники информации: если вы попробуете найти информацию про shell injection, довольно распространенную уязвимость, то в этих источниках вы не обнаружите упоминания о том, что CR/LF - это тоже опасные символы, что само по себе дискредитирует эти источники ... |
|||
:
Нравится:
Не нравится:
|
|||
28.12.2021, 16:43 |
|
защита от CSRF через токены.
|
|||
---|---|---|---|
#18+
Может я туплю, но вроде же кросс домен запросы (и куки) давным-давно запретили. И если специальных действий не предпринимать (если сайт Сбера специально на своем сайте не выставил, что разрешает кросс домен запросы на сайт хакера), то фиг что у хакеров получится. ... |
|||
:
Нравится:
Не нравится:
|
|||
28.12.2021, 20:48 |
|
защита от CSRF через токены.
|
|||
---|---|---|---|
#18+
Leonid Kudryavtsev, Запретить программистам невозможно. Появилось куча обходов данного запрета сервера. Дело ведь в смысле атаки. Этот тип атаки использует доверие юзверя браузеру. А браузер например загружая картинки отправит такой запрос Ты же понимаешь что картинки разрешено с другого домена. То есть защита комплексная должна быть. ... |
|||
:
Нравится:
Не нравится:
|
|||
28.12.2021, 23:28 |
|
защита от CSRF через токены.
|
|||
---|---|---|---|
#18+
PetroNotC Sharp questioner Кажется суть в том, что мы по сути в куках имеем только JSessionId. questioner Само запоминание токена происходит на стороне сервера. А бэкенд ждёт токен в конкретном поле. У злоумышленника нет возможности достать ничего из сессии. Таким образом он не может достать из сессии значение этого токена. Достаточно серверу и клиенту работать с солью и не твоего хака по сабжу. Я не понял. Я что то не так написал? Давай без завуалированных ответов. MFA, это оффтоп ... |
|||
:
Нравится:
Не нравится:
|
|||
28.12.2021, 23:55 |
|
защита от CSRF через токены.
|
|||
---|---|---|---|
#18+
Есть еще один фактик. Тут есть много любителей получать данные сайта не get'ом а post. Ну в первую очередь стас конечно)). Это тоже первый путь к атакам по сабжу. ... |
|||
:
Нравится:
Не нравится:
|
|||
28.12.2021, 23:56 |
|
защита от CSRF через токены.
|
|||
---|---|---|---|
#18+
questioner, Дак ты сам молчишь. — Между прочим, Вы меня не так поняли! — Да как же тебя понять, кoли ты ничего не говоришь? ... Тебе сказал что на каждый запрос идет отправка приготовленных РАЗНЫХ токенов. Ответ будет про атаку? ... |
|||
:
Нравится:
Не нравится:
|
|||
28.12.2021, 23:59 |
|
защита от CSRF через токены.
|
|||
---|---|---|---|
#18+
PetroNotC Sharp questioner, Дак ты сам молчишь. — Между прочим, Вы меня не так поняли! — Да как же тебя понять, кoли ты ничего не говоришь? ... Тебе сказал что на каждый запрос идет отправка приготовленных РАЗНЫХ токенов. Ответ будет про атаку? Что это за поток сознания... Можешь сформулировать свои мысли ? ... |
|||
:
Нравится:
Не нравится:
|
|||
29.12.2021, 00:07 |
|
защита от CSRF через токены.
|
|||
---|---|---|---|
#18+
Stanislav Bashkyrtsev Sergunka Токен зависит от того какой протокол Вы желаете использовать обычно пользуются OAuth 2 https://oauth.net/2/ Обычно токен хранится в сервер сессии и дохнет вместе с сессией. Если это хозяйство класть в куку, то да есть вариант взлома хотя и есть вариант взлома по сессии так же. Основной ограничитель это время сессии и токена. Часто токен может быть использован только один раз к примеру тоже хорошо работает. Да я что-то протупил. Токеном в CSRF никогда не пользовался даже забыл, что он там есть. Обычно фреймворк просто позволяет чекнуть бокс и достаточно. ... |
|||
:
Нравится:
Не нравится:
|
|||
29.12.2021, 00:38 |
|
защита от CSRF через токены.
|
|||
---|---|---|---|
#18+
PetroNotC Sharp Ты же понимаешь что картинки разрешено с другого домена. То есть защита комплексная должна быть. у куков вроде область видимости определяется чем картинка с другого домена (и как она оказалась на сайте сбербанка?) может помочь своровать куки - не понимаю ... |
|||
:
Нравится:
Не нравится:
|
|||
29.12.2021, 01:03 |
|
защита от CSRF через токены.
|
|||
---|---|---|---|
#18+
С развитием session/local Storage нам недостаточно будет обсуждать печенюшки. Надо будет те-же самые проверки сделать и еще для ряда технологий и доказать что они также безопасны для пересечений границ доменов. ... |
|||
:
Нравится:
Не нравится:
|
|||
29.12.2021, 01:22 |
|
защита от CSRF через токены.
|
|||
---|---|---|---|
#18+
Leonid Kudryavtsev Может я туплю, но вроде же кросс домен запросы (и куки) давным-давно запретили. И если специальных действий не предпринимать (если сайт Сбера специально на своем сайте не выставил, что разрешает кросс домен запросы на сайт хакера), то фиг что у хакеров получится. CORS имеет весьма посредственное отношение к XSRF. XSRF - оно про возможность выполнять действия от имени жертвы на ресурсе где жертва "аутентифицирована", например если начинать с азов, то вот такой вот серверный код: Код: java 1. 2. 3. 4. 5. 6. 7. 8.
в самом простом случае позволяет атакующему подсовывать жертве ссылки вида http://victim.resource/api?query=..., что в свою очередь позволит атакующему осуществлять какие-то манипуляции с БД (можно пользователя себе создать, можно права выдать, в конце концов можно тупо все разломать). Подсовывать можно разными способами: кинуть в почту под видом картинки (т.е. в img обернуть), в мессенжер, разместить на другом ресурсе, куда жертва любит ходить и пр., вот пример XSRF на скуле: 6874052 - очевидно, что в данном случае CORS вообще здесь никаким боком. Кто-то может сказать что "для защиты" нужно использовать POST вместо GET, и тогда все будет пучком, но будет неправ - атакующий может на своем ресурсе нарисовать форму "жмякни кнопку и выйграй мильен" и эта форма будет отправлять данные "куда нужно" - вот здесь можно хоть как-то притянуть за уши CORS, который запретит автоматически самбитить такую форму из JS, но если форму нарисовать покрасивее и денег пообещать побольше, то никто не гарантирует что жертва-таки не нажмет кнопку - по факту CORS снимает одно очко в CVSSv3 за счет User Interaction: Required. Общая же концепция защиты заключается в том, что мы при обработке запроса должны проверять, что ранее мы сами показали пользователю нечто, что может приводить к выполнению текущего запроса, самым элементарным вариантом здесь является проверка Referrer - даже на клиенте ничего городить не нужно, все сделает браузер, но защита на Referrer считается такой себе. ... |
|||
:
Нравится:
Не нравится:
|
|||
29.12.2021, 03:36 |
|
защита от CSRF через токены.
|
|||
---|---|---|---|
#18+
PetroNotC Sharp на каждый запрос идет отправка приготовленных РАЗНЫХ токенов - токен либо постоянный в рамках сеанса (спринговая реализация) - нужно где-то хранить неизвестное количество токенов (т.е. нужна сессия + у нас потенциальный DoS) - нужно лепить что-то хитрое ... |
|||
:
Нравится:
Не нравится:
|
|||
29.12.2021, 03:47 |
|
защита от CSRF через токены.
|
|||
---|---|---|---|
#18+
Leonid Kudryavtsev у куков вроде область видимости определяется После этого вы ищите дыры. Их же больше если вас пустили на порог. Правда? Например стас После авторизации делает выборку post. Ставит фильтры таким образом. Вот кто тестил установку фильтра от пользователя клиента банка? Вот при фильтре select pass from table_user вполне можно утянуть всю базу клиентов. На POST же выборка идет. Leonid Kudryavtsev и как она оказалась на сайте сбербанка А) прошляпили Б) залил хакер на первом этапе. На домене банка есть форум sql.ru)))) Leonid Kudryavtsev чем картинка с другого домена Принудительная загрузка файла .torrent ... Мораль - выборка это get а не post ... Имхо ... |
|||
:
Нравится:
Не нравится:
|
|||
29.12.2021, 08:13 |
|
защита от CSRF через токены.
|
|||
---|---|---|---|
#18+
Андрей Панфилов нет там никаких разных токенов на каждый запрос - это очень сложно реализуемо, Я не понимаю что сложного в двух методах от самого банка. Скрипт.js ведь его родимого. секрСтрокаТокен = приготовитьТокен(); отправитьЗапросБанк(секрСтрокаТокен); ... |
|||
:
Нравится:
Не нравится:
|
|||
29.12.2021, 08:19 |
|
защита от CSRF через токены.
|
|||
---|---|---|---|
#18+
приготовитьТокен(){ - берем логин юзверя и добавляем время Вася211231:17:15 - хешируем криптофункцией гост стрибог DCFGKHGFHHJKKJGGHJKJHNKKJKJJJ -все. } Что тут сложного я не понял. На а добавка времени например есть в протоколе SAML как пример. Воруй токен сколько угодно. Он протухнет. ... |
|||
:
Нравится:
Не нравится:
|
|||
29.12.2021, 08:35 |
|
защита от CSRF через токены.
|
|||
---|---|---|---|
#18+
PetroNotC Sharp Я не понимаю вранье - ты читать не умеешь. ... |
|||
:
Нравится:
Не нравится:
|
|||
29.12.2021, 09:10 |
|
защита от CSRF через токены.
|
|||
---|---|---|---|
#18+
Андрей Панфилов PetroNotC Sharp Я не понимаю вранье - ты читать не умеешь. ... |
|||
:
Нравится:
Не нравится:
|
|||
29.12.2021, 09:14 |
|
защита от CSRF через токены.
|
|||
---|---|---|---|
#18+
PetroNotC Sharp вранье. Ты теоретик. ну давай, блесни умением читать: Андрей Панфилов - токен либо постоянный в рамках сеанса (спринговая реализация) - нужно где-то хранить неизвестное количество токенов (т.е. нужна сессия + у нас потенциальный DoS) - нужно лепить что-то хитрое а теперь попробуй объяснить как в спринге (в библиотеке), реализовать стой стиборг, чтобы оно еще и на заранее неизвестном клиенте оказалось. Дуй за туалетной бумагой и стирай портки раз обосрался. ... |
|||
:
Нравится:
Не нравится:
|
|||
29.12.2021, 09:27 |
|
защита от CSRF через токены.
|
|||
---|---|---|---|
#18+
Андрей Панфилов, Как вы расстроились, когда я вернул вам ваше же обращение. Держите себя. Вы нам нужны. И разговор на дворовом сленге вам не подходит. ... "Спринг головного мозга блин" (с) Давай попробуем тебя понять. - топик про спринг? У тс не было такого. - ты хочешь про спринг или бут или либу security? Правильно я понял что в спринге проблема взять из хидера http строку токен и потом взят алгорим стиборг на гитхабе? Стиборг придумали "наши" в пику буржуанскому SHA. Вы правда за наших?)) :) - вы в курсе что "неизвестный клиент" загружает код сервера?))))) Давайте помедленнее отвечайте техническим языком) ... |
|||
:
Нравится:
Не нравится:
|
|||
29.12.2021, 10:30 |
|
защита от CSRF через токены.
|
|||
---|---|---|---|
#18+
PetroNotC Sharp - топик про спринг? У тс не было такого. это уже клиника... questioner Ну вот spring security https://docs.spring.io/spring-security/site/docs/5.0.x/reference/html/csrf.html#csrf-include-csrf-token-form тут про форму пишут. Вроде как должно же работать. ну и опять же вспоминаются времена, что чтобы мигрировать с одной версии спринга на другую включался этот CSRF и поначалу приходилось его выключать. да топик про спринг, да ты читать не умеешь, да ты своей беспросветной тупостью засоряешь любой топик. ... |
|||
:
Нравится:
Не нравится:
|
|||
29.12.2021, 10:42 |
|
защита от CSRF через токены.
|
|||
---|---|---|---|
#18+
Андрей Панфилов, Ты дальше то отвечай. Слабо? ... |
|||
:
Нравится:
Не нравится:
|
|||
29.12.2021, 10:46 |
|
защита от CSRF через токены.
|
|||
---|---|---|---|
#18+
Андрей Панфилов, Если про спринг, то какой. Если про спринг, то наверное фильтры ты слышал? Ась? ... |
|||
:
Нравится:
Не нравится:
|
|||
29.12.2021, 10:47 |
|
|
start [/forum/topic.php?fid=59&msg=40123834&tid=2120272]: |
0ms |
get settings: |
14ms |
get forum list: |
6ms |
check forum access: |
1ms |
check topic access: |
1ms |
track hit: |
33ms |
get topic data: |
3ms |
get forum data: |
1ms |
get page messages: |
451ms |
get tp. blocked users: |
0ms |
others: | 356ms |
total: | 866ms |
0 / 0 |