Mobilno RSS Facebook Twitter E-novice Nastavi za domačo stran Dodaj med priljubljene Podcast Rock Radio Pozabljeno geslo Registriraj se Prijava facebook_connect.gif



  • A- A+

30.08.2018      18:00
|
Ranljivost CSRF oz. Medspletno ponarejanje zahtev

10 nasvetov za obrambo pred napadi CSRF

  • A- A+

 Preberite 10 nasvetov za obrambo pred napadi CSRF Preberite 10 nasvetov za obrambo pred napadi CSRF

Ko zlonamerna spletna aplikacija omogoča, da uporabniški brskalnik izvede neželeno dejanje na spletnem mestu, v katerega je uporabnik prijavljen. Gre za ranljivost spletnih aplikacij, ki na funkcijah ne vsebujejo mehanizmov za prepoznavo (ne)namernih klicev uporabnikov. Aplikacija mora biti namreč sposobna razlikovati med klici, ki jih uporabniki posredujejo namerno, in tistimi, ki jih posreduje nehote.

Vsebinsko gledano so lahko grožnje, ki jih prinašajo ranljivost CSRF, zelo različne. Ko se ranljivost nanaša na najpomembnejše funkcije aplikacije (npr. nakazilo denarja v spletni banki), so grožnje jasne in nedvoumne. Ko pa se ranljivost nanaša na tiste na videz manj pomembne funkcije, pa grožnje na prvi pogled niso tako očitne, ampak so skrite v širšem konceptu zlorabe.

Problem pri slednjih je, da razvijalec aplikacije težko predvidi, ali obstaja scenarij, po katerem bi bila zloraba mogoča. »Domišljija napadalcev ob pravi motivaciji nima meja, tako da lahko podcenjevanje hitro privede v nezaželeno situacijo. Zato naj tudi te funkcije vsebujejo vso potrebno zaščito,« priporoča Vladimir Ban, strokovnjak za kibernetsko varnost iz podjetja Smart Com.

Med najpogosteje ranljive funkcije spadajo:

  • nepooblaščeno spreminjanje gesel uporabnikov,
  • nepooblaščeno dodajanje uporabnikov s strani skrbnika,
  • nepooblaščeno nakazilo denarnih sredstev,
  • spreminjanje podatkov v profilih uporabnikov itd.

Nivo ogroženosti, ki ga ranljivost CSRF prinaša, pa ni odvisen le od vsebinskih dejavnikov, ampak tudi od tehničnih okoliščin oz. lastnosti funkcije/aplikacije. Odgovori na naslednja vprašanja so odlično izhodišče za določitev, kako izpostavljeni smo, in pomenijo smernice, kako poskrbeti za ustrezno zaščito:

  • Ali lahko napadalec napad izvede preko GET klica, ali ne?
  • Ali in kako ve, kakšen klic mora sprožiti?
  • Ali je napadalcu težko sestaviti klic do aplikacije?
  • Kako se aplikacija obnaša ob prijavi in ob ranljivih klicih?
  • Ali morda CSRF zaščita obstaja, a je ranljiva?

 

Kako lahko ranljivost preprečimo

Osnovna ideja CSRF zaščite je dokaj enostavna. Aplikacija mora vsebovati mehanizem, ko klici na funkcije, poleg vseh ostalih zadev, uporabljajo tudi parameter, ki je za vsak klic pripravljen enolično in neuganljivo (CSRF_token). Na ta način lahko aplikacija hitro razpozna oz. loči namerne klice od nenamernih. Namerni klici potekajo preko nadzorovanega in pričakovanega procesa v aplikaciji in brskalniku bo le ta lahko v okviru procesa posredovala enoličen in neuganljiv parameter. V teoriji je vse lepo in prav, a primeri iz prakse pokažejo, da so mehanizmi zaščite pogosto napačno implementirani in zato pomanjkljivi.

V praksi večina programskih jezikov in platform že vsebuje ukaze ali preizkušene 'framework-e', ki vzpostavijo ustrezno zaščito. Primer tega je SFRGuard knjižnica za Java programski jezik. »Že pripravljene zaščite naj se striktno uporabljajo,« vsem razvijalcem spletnih aplikacij še svetuje Vladimir Ban.

Uporaba omenjenega zaščitnega mehanizma je pomemben korak pri preprečevanju ranljivosti. Obstajajo pa številna druga priporočila oz. nasveti za obrambo pred CSRF napadi, ki jih je koristno poznati in jih tudi implementirati. Podrobno so predstavljeni v beli knjigi z naslovom Ali so vaše spletne aplikacije odporne na ranljivost CSRF.


Spletne aplikacije so danes vseprisotne. Posledično so izvor največjega števila varnostnih groženj in ranljivosti. Podjetja, ki varnosti spletnih aplikacij posvečajo premalo pozornosti, povečujejo verjetnost za napad.









KOMENTIRAJ

X



ANKETA
Arhiv anket

Roboti so z vsakim dnem bolj izpopolnjeni in vedno bolj podobni ljudem. Kakšen je vaš odnos do tega?





ZADNJE RAČUNALNIŠKE TEŽAVE IN REŠITVE

ZADNJE KOMENTIRANE NOVICE

Dell z vrhunskim računalniškim zaslonom brez ... 1
Justin.Forfunky  |  V blaženem miru bi lahko bil brez primer...
Težko pričakovani Google Pixel 3 prihaja že 9... 1
Luka Guštin  |  Hm, žal se tako ali tako telefona v Slov...
»Poceni« iPhone XR končno na voljo v predprod... 1
Potato  |  Kr naj ga majo xD bolš kupt rablen iPhon...
Apple iPhone kot nov, a veliko cenejši 2
Potato  |  In kaj je narobe če imaš par let star te...
Apple iPhone kot nov, a veliko cenejši 2
Jan.Ethelwulf  |  In imaš telefon letnik 2014 xD raje si k...
RN KANAL




e-novice Želim brezplačno izdajo uredniškega izbora
najboljših računalniških novic na e-mail
Potrdi
(predogled)
(predogled)
(predogled)


100% skrbno bomo varovali vašo zasebnost in odnaročili se boste lahko kadarkoli!
Twitter




V zgornje okence vpišite vaš elektronski naslov, na katerega boste prejeli nadaljna navodila.

Mozilla Firefox

Kliknite na meni Orodja (Tools) in izberite Možnosti (Options)
V zavihku Splošno (Main) v polje Domača stran (Home Page) vpišite naslov rn.si
Kliknite na gumb V redu (OK)

Internet Explorer

Kliknite na meni Orodja (Tools) in izberite Internetne možnosti (Internet Options)
V zavihku Splošno (General) v polje Home Page (Domača stran) vpišite naslov rn.si
Kliknite na gumb V redu (OK)

Chrome

Hkrati pritisnite ALT+F in izberite Možnosti
V zavihku Osnove kliknite na gumb Uporabi trenutno stran
Kliknite na gumb Zapri

Netscape Navigator

Kliknite na meni Tools in izberite Options
V zavihku Main v polje Home Page vpišite naslov rn.si
Kliknite na gumb OK

Opera

Hkrati pritisnite CRTL+F12
Kliknite gumb »Use current«
Kliknite na gumb OK

Safari

Hkrati pritisnite tipki CTRL+","
Izberete zavihek General
Kliknite gumb »Set to current page«

Mozilla Firefox

Hkrati pritisnite tipki CTRL+D
Kliknite na gumb Shrani (Save)

Internet Explorer

Hkrati pritisnite tipki CTRL+D
Kliknite na gumb Dodaj (Add)

Chrome

Hkrati pritisnite tipki CTRL+D
Kliknite na gumb Končano (Finish)

Netscape Navigator

Hkrati pritisnite tipki CTRL+D
Kliknite na gumb OK

Opera

Hkrati pritisnite tipki CTRL+D
Kliknite na gumb OK

Safari

Hkrati pritisnite tipki CTRL+D
Kliknite na gumb OK