powered by simpleCommunicator - 2.0.30     © 2024 Programmizd 02
Map
Форумы / Java [игнор отключен] [закрыт для гостей] / защита от CSRF через токены.
25 сообщений из 94, страница 3 из 4
защита от CSRF через токены.
    #40123863
Фотография mayton
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
PetroNotC Sharp
Андрей Панфилов,
Ты дальше то отвечай. Слабо?

Придержи коней бро. Ты супротив Андрея всё одно что "плотник супротив столяра" (c) Чехов.
Просто он фактами говорит а ты - больше манипулируешь
...
Рейтинг: 0 / 0
защита от CSRF через токены.
    #40123869
PetroNotC Sharp
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
mayton,
Неа. Он супротив блазковича ягненок.
Блазкович без всякой воды брал пост и квотировал все строчки ответом.
Бывало и 15 ответов было.
Вот это факт.
Будем считать что вообще он крут, но сегодня не с той ноги встал. Завтра исправится.
...
Рейтинг: 0 / 0
защита от CSRF через токены.
    #40123870
questioner
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Гость
Я вообще имел ввиду synchronizer token pattern
Кажется топик вообще не об этом вышел
...
Рейтинг: 0 / 0
защита от CSRF через токены.
    #40123872
PetroNotC Sharp
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
questioner
Я вообще имел ввиду synchronizer token pattern
Кажется топик вообще не об этом вышел
ты больше молчи и топик конечно о своем пойдет.
...
Рейтинг: 0 / 0
защита от CSRF через токены.
    #40123875
questioner
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Гость
PetroNotC Sharp
questioner
Я вообще имел ввиду synchronizer token pattern
Кажется топик вообще не об этом вышел
ты больше молчи и топик конечно о своем пойдет.


Тебе отвечать = кормить тролля. Не важно по теме или нет - лишь бы ляпнуть что-то.
...
Рейтинг: 0 / 0
защита от CSRF через токены.
    #40123878
PetroNotC Sharp
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
questioner,
Дык ты никому не отвечал.
Только неучи видят проблему в петро.
Не образованные, что с них взять.
Раньше на молнии крестились)
...
Рейтинг: 0 / 0
защита от CSRF через токены.
    #40123942
Leonid Kudryavtsev
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Андрей Панфилов

То, что Вы описали, вроде обычный injection.
...
Рейтинг: 0 / 0
защита от CSRF через токены.
    #40123948
Андрей Панфилов
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Leonid Kudryavtsev
То, что Вы описали, вроде обычный injection.
нет, инъекция - это когда приложение делает нечто, что изначально не было задумано автором, здесь же мой контроллер работает как было задумано - выполняет запросы SQL.
...
Рейтинг: 0 / 0
защита от CSRF через токены.
    #40123997
Leonid Kudryavtsev
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Если SQL injection внести в документации (и даже в техническое задание), оно не перестанет быть SQL injection.
Максмимум станет documented SQL injection

IMHO
...
Рейтинг: 0 / 0
защита от CSRF через токены.
    #40124019
Андрей Панфилов
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Leonid Kudryavtsev,

ну можете в таком случае завести какой-нить CVE на MS, Oracle и всех до кого руки дотянутся - там же можно SQL выполнять, о ужас! Вы CORS от XSRF отличить не можете, а мнение при этом имеете.
...
Рейтинг: 0 / 0
защита от CSRF через токены.
    #40124031
Leonid Kudryavtsev
Может я туплю, но вроде же кросс домен запросы (и куки) давным-давно запретили. И если специальных действий не предпринимать (если сайт Сбера специально на своем сайте не выставил, что разрешает кросс домен запросы на сайт хакера), то фиг что у хакеров получится.
1. Не все кросс-доменные запросы запрещены. Так называемые Simple Requests разрешены - это GET, POST, HEAD со списком стандартных хедеров. Плюс еще важно чтоб JS не зарегистрировал никаких слушателей на ответ, чтоб ничего вычитать не мог.
2. Именно из-за того что кросс-домены запрещены нам нужен CORS. Он как раз разрешает с других сайтов слать запрос на наш сервер (а нам это, возможно, как раз нужно). Без него позволены только Simple Requests. И вот когда мы разрешили с помощью CORS кросс-доменные запросы, нам нужно побеспокоиться чтоб только определенный набор запросов мог проходить. А остальные защищаются CSRF token'ом. Т.е. мы как бы открыли возможность ходить к нам с чужих ресурсов, но при этом не хотим позволять совсем что угодно делать.
3. Ну и остаются все же Simple Requests которые позволены и без CORS - если мы не хотим их позволять, то надо либо запретить эти Simple Requests (например, требуя доп http header во всех запросах), либо разрешить но при этом использовать CSRF token.
Андрей Панфилов
в спринге кука зовется XSRF-TOKEN, а заголовок X-XSRF-TOKEN, мы же здесь про жаву и спринг, поэтому нет оснований не доверять спрингу
Уж кого-кого, а спринг я никак не воспринимал как авторитет в наименовании security атак :) Надо просто смириться с тем что у этой атаки несколько имен. Кстати на Security SE тэг тоже назван csrf.
...
Рейтинг: 0 / 0
защита от CSRF через токены.
    #40124049
Stanislav Bashkyrtsev
И вот когда мы разрешили с помощью CORS кросс-доменные запросы, нам нужно побеспокоиться чтоб только определенный набор запросов мог проходить. А остальные защищаются CSRF token'ом. Т.е. мы как бы открыли возможность ходить к нам с чужих ресурсов, но при этом не хотим позволять совсем что угодно делать
Хотя так-то подумать CORS настраиваться достаточно гибко и на каждый ресурс его можно свой настроить. Так что может в CSRF токенах все-таки есть смысл только в случае Simple Requests..
...
Рейтинг: 0 / 0
защита от CSRF через токены.
    #40124092
Андрей Панфилов
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Stanislav Bashkyrtsev
Хотя так-то подумать CORS настраиваться достаточно гибко и на каждый ресурс его можно свой настроить. Так что может в CSRF токенах все-таки есть смысл только в случае Simple Requests..
в этом случае придется постоянно следить за бэком и думать над каждым контроллером, можно ли туда пробиться или нет.
...
Рейтинг: 0 / 0
защита от CSRF через токены.
    #40124094
PetroNotC Sharp
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Stanislav Bashkyrtsev
Хотя так-то подумать CORS настраиваться достаточно гибко
вывернул недосток в преимущество когда прочитал про гибкость).
Сначала обоснуй зачем понадобились такие запросы. А потом борись с браузерами, системой, серверами и здравой логикой
...
Рейтинг: 0 / 0
защита от CSRF через токены.
    #40124129
Андрей Панфилов
Stanislav Bashkyrtsev
Хотя так-то подумать CORS настраиваться достаточно гибко и на каждый ресурс его можно свой настроить. Так что может в CSRF токенах все-таки есть смысл только в случае Simple Requests..
в этом случае придется постоянно следить за бэком и думать над каждым контроллером, можно ли туда пробиться или нет.
Дак мы по умолчанию установим что никому нельзя. И только в тех исключительных случаях когда можно - будем разрешать с помощью CORS хедеров.

Плюс ко всему на сервере нужно добавить фильтр который требует наличие какого-то кастомного HTTP хедера. Не важно что там будет, но это гарантирует что браузер пошлет preflight запрос чтоб проверить CORS хедеры. От нас он получит запрет (по умолчанию). В JS мы можем централизировано добавить хедер (опять же - не важно что в нем). И таким образом ни один запрос с другого сайта не пройдет.

И если мы никогда не делаем form submission, то все - больше делать ничего не надо. Мы защищены от любого CORS запроса.

Такой подход вот у OWASP описан .

Т.е. в итоге нам CSRF токен нужен только в случае form submission .
...
Рейтинг: 0 / 0
защита от CSRF через токены.
    #40124152
Basil A. Sidorov
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Stanislav Bashkyrtsev
И если мы никогда не делаем form submission, то все - больше делать ничего не надо. Мы защищены от любого CORS запроса
... кроме того, который сформирует квалифицированный злоумышленник, если содержание доп.заголовка стабильно или более-менее предсказуемо.
...
Рейтинг: 0 / 0
защита от CSRF через токены.
    #40124154
PetroNotC Sharp
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Stanislav Bashkyrtsev,
Все о чем ты усиленно пишешь не работает для простых запросов.
То есть text а не json. Ну и запросы сабмита и тегов типа <img
То есть запрос атаки CSRF уйдет на сервер.
Вариант эксплоита писал выше.
Ну и браузеров счас море. Затрахаешься свой CORS настраивать.
Мораль - не лезь в защиту. Не используй междоменные вообще.
...
Рейтинг: 0 / 0
защита от CSRF через токены.
    #40124156
PetroNotC Sharp
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Stanislav Bashkyrtsev
И если мы никогда не делаем form submission
покажите хоть одно творение такое. Даже на ангуляре в одно окно.
Это же анекдот!
Рассматриваем ЗАЩИТУ БЭКА!
А ТРЕБОВАНИЯ К КЛИЕНТУ))))))
...
Рейтинг: 0 / 0
защита от CSRF через токены.
    #40124157
PetroNotC Sharp
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Все кто говорит что сабмит уже не торт и он помер - теоретики.
Удачи аффтару!
...
Рейтинг: 0 / 0
защита от CSRF через токены.
    #40124160
Basil A. Sidorov
Stanislav Bashkyrtsev
И если мы никогда не делаем form submission, то все - больше делать ничего не надо. Мы защищены от любого CORS запроса
... кроме того, который сформирует квалифицированный злоумышленник, если содержание доп.заголовка стабильно или более-менее предсказуемо.
Дак не важно что там в этом хедере. Можно просто написать x-check-cors: blah . Нам же не содержимое важно, а наличие - это заставит браузер сделать preflight запрос. И таким образом мы дешево отключаем все cross-origin запросы.

Правда ресурсы которые nginx/apache кеширует все равно можно будет запросить с помощью CSRF (но не вычитать результат!). Но это и не страшно - раз уж мы используем public cache, то ожидаем что кто угодно сможет сделать запрос, даже без привлечения пользователя.
...
Рейтинг: 0 / 0
защита от CSRF через токены.
    #40124164
PetroNotC Sharp
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Stanislav Bashkyrtsev
Но это и не страшно
ну для такого защитника конечно.
То есть то что браузер не показал ответ но выполнил запрос стаса успокоило))) : LOL
Пиши ещё.
Взял попкорн.
...
Рейтинг: 0 / 0
защита от CSRF через токены.
    #40124181
Leonid Kudryavtsev
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Stanislav Bashkyrtsev
preflight запрос

Опять покажусь невеждой, но что это такое?
...
Рейтинг: 0 / 0
защита от CSRF через токены.
    #40124190
Leonid Kudryavtsev
Stanislav Bashkyrtsev
preflight запрос

Опять покажусь невеждой, но что это такое?
Когда с нашей страницы мы хотим послать запрос на сервер, браузер может перед этим послать еще и OPTIONS запрос. Таким образом он может узнать собсно имеет ли он право сделать запрос который мы его попросили. Ну и узнать там способ аутентификцаии, может еще что. Т.е. на сервер прийдет на самом деле два запроса - OPTIONS, а потом наш основной.

Ну и к нашей теме это относится потому что любой запрос который мы хотим послать на другой домен требует такого вот preflight запроса. Кроме запросов которые подпадают под понятие Simple Requests .
...
Рейтинг: 0 / 0
защита от CSRF через токены.
    #40124199
PetroNotC Sharp
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Leonid Kudryavtsev
Stanislav Bashkyrtsev
preflight запрос

Опять покажусь невеждой, но что это такое?

Ооо это круто.
Услышав чаяния несознательных прогеров, которые хотят из вкладки app посылать запросы в банк, придумали дополнительно к post, get, спец запрос OPTIONS.
Ну то есть целую шнягу о которой пишет стас.
Там протокол, доп запросы, обязанности сервера и производителей браузеров.
Не хакеров в конечно. Они подписку не давали))
Выше ты спрашивал, как кроссдомен если они запрещены?
Дак вот, и придумали))))).
...
Рейтинг: 0 / 0
защита от CSRF через токены.
    #40124200
PetroNotC Sharp
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Stanislav Bashkyrtsev,
Юлишь конечно.
К теме Защита относится если автору нужн понижение безопасности.
Так как CORS это новый метод снижения безопасности и обхода запрета кроссдоменной политики.
Мне жаль.
Но это суть.
...
Рейтинг: 0 / 0
25 сообщений из 94, страница 3 из 4
Форумы / Java [игнор отключен] [закрыт для гостей] / защита от CSRF через токены.
Целевая тема:
Создать новую тему:
Автор:
Закрыть
Цитировать
Найденые пользователи ...
Разблокировать пользователей ...
Читали форум (0):
Пользователи онлайн (0):
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]