Cross- Site Request Forgery

Podobné dokumenty
Testování webových aplikací Seznam.cz

Cross Site Request Forgery

Úvodem 9. Zpětná vazba od čtenářů 10 Zdrojové kódy ke knize 10 Errata 10. Než začneme 11

Hitparáda webhackingu nestárnoucí hity. Roman Kümmel

Šifrování Autentizace Bezpečnostní slabiny. Bezpečnost. Lenka Kosková Třísková, NTI TUL. 22. března 2013

Vývoj Internetových Aplikací

Zranitelnosti webových aplikací. Vlastimil Pečínka, Seznam.cz Roman Kümmel, Soom.cz

Cross-Site Scripting (XSS)

Web Application Security aneb další. rozměr hackingu. XanthiX Soom session IV

PHP a bezpečnost. nejen veřejná

Content Security Policy

Pánem World Wide Webu! aneb povídání o chybě hloupé tak, až to bolí

Datové schránky ante portas

Protokol HTTP 4IZ228 tvorba webových stránek a aplikací

Uživatel počítačové sítě

INFORMAČNÍ SYSTÉMY NA WEBU

1 Webový server, instalace PHP a MySQL 13

1. Úvod do Ajaxu 11. Jak Ajax funguje? 13

Tvorba webových stránek

Internetové služby isenzor

Formuláře. Internetové publikování. Formuláře - příklad

Nejčastější zranitelnosti webových aplikací. Pavel Bašta

Dokumentace k nevizuálnímu rozhraní aplikace DopisOnline

Administrace internetových stránek Podaných rukou a jejich center. Cube Studio

Uživatelská dokumentace

Vývoj internetových aplikací. 9. Útoky na internetové aplikace. a možná obrana proti nim

Uživatelský modul. wm-bus Concentrator

Třídy a objekty. Třídy a objekty. Vytvoření instance třídy. Přístup k atributům a metodám objektu. $z = new Zlomek(3, 5);

Obsah. Úvodem 9. Kapitola 1 Než začneme 11. Kapitola 2 Dynamické zobrazování obsahu 25. Zpětná vazba od čtenářů 10 Zdrojové kódy ke knize 10 Errata 10

Verze 1.x 2.x 3.x 4.x 5.x. X X X X uživatelům (správcům) systému Řazení dat v přehledech podle jednotlivých sloupců

přes webový prohlížeč pomocí Ing. Tomáš Petránek

KLASICKÝ MAN-IN-THE-MIDDLE

Část IV - Bezpečnost 21. Kapitola 19 Bezpečnostní model ASP.NET 23

Obecní webové stránky.

Webové stránky fotbalového klubu

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Na vod k nastavenı u

Etapa I první kontakt

Studijní průvodce e-learningovým kurzem. STRUKTURÁLNÍ FONDY A PROJEKTY v období

Zásady zpracování a ochrany osobních údajů

Příručka nastavení funkcí snímání

WiFi4EU Komponent sloužící k prosazování politiky. Prováděcí příručka verze 1.0

Vazba ESO9 na MS Outlook a MS Exchange

Gymnázium a Střední odborná škola, Rokycany, Mládežníků 1115

CISCO CCNA I. 8. Rizika síťového narušení

SECTRON s.r.o. Výstavní 2510/10, Ostrava - Mariánské Hory , sales@sectron.cz

1. Webový server, instalace PHP a MySQL 13

Návrh a tvorba WWW stránek 1/8. Formuláře

POTENZA - NOVÝ PORTÁL PRO AFFILIATE PARTNERY. Vítáme vás v průvodci nového rozhraní affiliate sítě Potenza

Aktuální hrozby internetu. 1.Trojské koně (malware) 2.Phishing 3.Sociální sítě

Manuál PVU zadavatel Platnost pro elektronický nástroj X-EN verze 4 a novější

Aplikace pro elektronicke odesla nı da vky Listu o prohlı dce zemr ele ho a dals ı ch da vek do NZIS.

Nastavení poštovních klientů pro přístup k ové schránce na VŠPJ

nástroj pro jednoduchou správu a vedení agendy studentských počítačových sítí na kolejích SU OPF Karviná Ing.

Prezenční stránka tréninkové skupiny v systému CzechTriSeries UŽIVATELSKÝ MANUÁL

WEBOVÉ STRÁNKY

Maturitní projekt do IVT Pavel Doleček

Artlingua Translation API

Informační systém pro e-learning manuál

Instalace a konfigurace web serveru. WA1 Martin Klíma

10. SEO Obsah meta, konkrétní elementy v html kódu. Web pro kodéry (Petr Kosnar, ČVUT, FJFI, KFE, PINF 2008)

Technická specifikace Platební brána IBS

Registr práv a povinností

Bezpečnost internetového bankovnictví, bankomaty

Nový design ESO9. E S O 9 i n t e r n a t i o n a l a. s. U M l ý n a , P r a h a. Strana 1 z 9

Konfigurace pracovní stanice pro ISOP-Centrum verze

rychlý vývoj webových aplikací nezávislých na platformě Jiří Kosek

Novinky IPAC 3.0. Libor Nesvadba Karel Pavelka

Individuální projekt z předmětu webových stránek 2012/ Anketa

Příručka pro editaci kontaktů na eagri

1.4 Pro bezproblémové používaní systému JOSEPHINE je nutné používat internetový prohlížeč Microsoft Internet Explorer verze 11.0 a vyšší.

Na vod k nastavenı ovy ch schra nek Administrace

OSOBA JEDNAJÍCÍ ZA SPRÁVCE ČÍSELNÍKU NÁVOD K OBSLUZE INFORMAČNÍHO SYSTÉMU O DATOVÝCH PRVCÍCH (ISDP)

Ing. Přemysl Brada, MSc., Ph.D. Ing. Martin Dostal. Katedra informatiky a výpočetní techniky, FAV, ZČU v Plzni

Jaku b Su ch ý 1

Zabezpečení proti SQL injection

Jen technická ochrana nestačí. Ing. Jindřich Hlaváč, CISA DCIT, a.s.,

Manuál PVU zadavatel Platnost pro elektronický nástroj X-EN verze 3 a novější

Kapitola 1 První kroky v tvorbě miniaplikací 11

Modul PrestaShop verze 1.6 Uživatelská dokumentace

Uživatelská dokumentace

Komu je tato kniha určena? Jak je kniha uspořádána? Konvence použité v té to knize. Část i základy Microsoft Windows XP Professional

Elektronická třídnice

ISMS. Síťová bezpečnost. V Brně dne 7. a 14. listopadu 2013

Uživatelský manuál

Přesunutí poštovní schránky ze stávajícího serveru do systému MS Exchange si vyžádá na straně uživatele změnu nastavení poštovního klienta.

Národní elektronický nástroj. Import profilu zadavatele do NEN

Registr práv a povinností

ROZHRANÍ PRO ZPŘÍSTUPNĚNÍ A PREZENTACI ZNALOSTNÍ DATABÁZE INTERPI UŽIVATELSKÁ PŘÍRUČKA

Modul PrestaShop verze 1.7 Uživatelská dokumentace

Používání sdíleného kalendáře v projektu Bioanalytické centrum

Dokumentace k projektu Usnesení Zastupitelstva Obce

1. Začínáme s FrontPage

WEBOVÉ STRÁNKY

Vedoucí práce: Ing. Petr Soukup, Ph.D. Fakulta stavební Katedra mapování a kartografie Obor Geoinformatika

Manuál pro správu uživatelských účtů aplikace MoneyWeb

2.přednáška. Informační bezpečnost: Systém řízení informační bezpečnosti (ISMS)

KONTO OBČANA. Uživatelský manuál Verze

Pracovní výkazy. návod k použití. Internetová aplikace Pracovní výkazy slouží k zadávání pracovních výkazů od zaměstnanců a externích pracovníků.

Základy HTML, URL, HTTP, druhy skriptování, formuláře

Transkript:

Prez en tace k p řed n ášce o CSRF ú tocích Přip raven o p ro SOOM session #4 2007

Jiné ozna ení této zranitelnosti č Cross- Site Request Forgery CSRF Cross- Site Reference Forgery XSRF

Historie CSRF (první zmínky) 1988 Norm Hardy označení Confused deputy 2OOO Bugtrag zranitelnost na ZOPE 2001 Bugtrag poprvé použito označení CSRF u příspěvku The Dangerous of Allow- ing Users to Post Images

Cílem CSRF útok ů jsou koncoví uživatelé Díky právům obětí je možné útočit na webové služby a aplikace Podle zranitelnosti webové aplikace může, ale také nemusí, být vyžadována spoluúčast oběti Podobnost s XSS

Jak servery kontrolují identitu uživatelů Sessions Cookies Předávané parametry Sou část URL

Popis zranitelnosti Kam úto č ník nem ů že Nasm ě rování ob ě ti Využití oběti a provedení akce

Použité metody GET POST

Utoky m etodou GET Cíle útoků Hlasování v anketách (http:/ / www.anketa.cz/ hlasuj.php?volba= 2) Volba funkčnosti (http:/ / www.aplikace.cz/ index.php?akce= logout)

Utoky m etodou GET Popis útoku Vložení vhodného odkazu (http:/ / www.anketa.cz/ hlasuj.php?volba= 2) Maskování p ř esm ě rováním (http:/ / www.mojestranky.cz) Využití odkaz ů na externí zdroje IMG, IFRAME... < IMG SRC= http:/ / www.anketa.cz/ hlasuj.php?volba= 2 width= 0 height= 0 >

Utoky m etodou POST Cíle útoků Vkládání příspěvk ů do diskuzí Změny v nastavení uživatelských učtů Změna přístupového hesla Změna e- m ailové adresy Přidání adresy pro přesěrování příchozí pošty

Utoky m etodou POST Popis útoku Zjišt ě ní informací o formulá ř i, odesílaných datech a cílovém scriptu Doplnek pro webový prohlížeč Pr ůzkum sítové kom unikace Pr ůzkum zdrojového kodu stránky Vytvo ř ení kopie formulá ř e Nalákání oběti Odeslání dat z formuláře

Utoky m etodou POST Nedostatky popsaného útoku a vylepšení Viditelnost form uláře Prvky typu hidden Odeslání form ulá ř e kliknutím na tla č ítko Autom atické odeslání JavaScriptem Zobrazení odpovědi od serveru Vložení formuláře do skrytého rámu

Napadení intranetu Intranetové aplkace Sítová za ř ízení ovládaná p ř es webové rozhraní Změny v nastavení hraničních bod ů mohou umožnit vstup útočníka do intranetu

Další cíle CSRF útoků Ovlivn ě ní výsledk ů anket Vkládání příspěvk ů do diskuzí Nákupy v e- shopech Přihazování v aukcích Zm ě ny v nastavení uživatelského ú č tu Krádež uživatelského účtu S vyššími právy možnost nadadení aplikace Utoky na webové aplikace v intranetu Zm ě ny v nastavení FW, router ů, apd.

Odkud může útok přijít Odkaz na webových stránkách Vložení odkazu do jakéhokoliv dokum entu, flashe, apd... E- maiem E- mail ve formátu html Vložení odkazu na ex terní zdroje (obrázek) Vložení formulá ř e p ř ímo zprávy Autom atické odeslání form uláře IE - sdílení cookies s webovým prohlížečem

Elektroncké pasy Nejznámější Microsoft Passport Jednorázová registrace Po přihlášení ke služb ě možnost navštěvo- vat všechny servery, které jsou partnerem, pod svou identitou. Veliká hrozba a dopad CSRF útoků

Standardní scéná ř útočníka při CSRF Vytvo ř ení ú č tu na napadeném serveru Vyzkoušení veškerých akcí k odhalení chování aplikace Hledání slabých míst, vkládání externích obrázk ů, XSS... Výběr vhodné metody a provedení útoku

Obrana Odhalení útoku uživatelem Jak se může uživatel bránit Odhalení útočníka správcem aplikace Možnosti obrany na stran ě serveru Zadávání hesla při akci Hlavička referer Prom ěnné URI Skrytá pole Metoda lístků

Obrana na stran ě uživatele Odhalení útoku většinou pozdě Paranoidní nastavení webového browseru Paranoidní nastavení firewallu Obrana prakticky neexistuje

Vystopování útočníka Ihned ze strany uživatele sledováním sítového provozu Pozd ě ji pouze na stran ě serveru a to jen v případ ě, pokud jsou vedeny logy včetn ě položky referer

Obrana zadáváním hesla Učinná metoda Nemožnost použít při všech akcích Př i častém zadávání hesla otevírá nové možnosti pro jeho zcizení

Kontrola položky referer Učinná metoda Filtrování refereru na stran ě klienta znemožní provedení legitimních požadavků Výskyt ex ploit ů na spoofing hlavičky refer- er

Ochrana použitím proměnného URI http:/ / www.web.cz/ JK34ADE4H543/ script.php S dostatečn ě dlouhým a náhodným řetězcem bezpečná metoda Nalezením zranitelnosti XSS prolomitelné

Obrana pom ocí náhodného identifikátoru ve skrytém poli Na začátku sezení je vygenerován náhodný řetězec, který se předává ve skrytém poli do všech formulá řů. Bezpeč né Napadnutelné pomocí XSS

Obrana pom ocí lístků Náhodný ř et ě zec vygenerován pro každou činnost Každý lístek uložen do úložišt ě s popisem činnosti Př i provedení žádosti se ověřuje zda exstu- je lístek Velice bezpečné Napadnutelné pomocí XSS

Obrana není jednoduchá Zranitelností CSRF trpí m noho aplikací Konkrét ní případy: Seznam.cz Volný.cz A mnoho dalších

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář