Csrf ochrona hosting Drupal

Mam kilka skryptów PHP POST, że muszę chronić przed atakami CSRF i mają wiele pytań:

1) Jeśli mogę przesłać żądania POST do PHP przy użyciu jQuery bez formularza HTML, po prostu być coraz wartości bezpośrednio z elementów HTML i przesłać je za pomocą jQuery, ja nadal zagrożone CSRF?

2) Kiedy użytkownik loguje się na stronie internetowej, przechowywać swój unikalny token w zmiennej sesji. W skrypcie PHP POST I sprawdzić, czy zmienna sesja jest ustawiony i ma taką samą wartość I ustawione wcześniej. Czy to nie wystarczy? dlaczego jest to potrzebne do tokena, które należy uwzględnić w formularzu HTML, jak również?

Csrf ochrona drupal hosting, który pasuje do jednego w

zapytał lis 15 '14 na 23:43

  1. Tak. To nie ma znaczenia, w jaki sposób skonstruować wniosek, atakujący może zbudować jeden w ten sam sposób. (Teoretycznie można zrobić cechy złożonego wniosku (co spowodowałoby inspekcji wstępnej wniosek CORS) obowiązkowe, tak, że inna strona nie mogła dostać przeglądarki użytkownika powielić cały wniosek, ale nie chcę polegać na tym) ,
  2. Nie

Punktem tokena jest sprawdzenie, że strona, która zawiera kod odpowiedzialny za podejmowanie decyzji, co się dzieje we wniosku (tj formularz lub JavaScript) to strona na swojej stronie.

Jeśli formularz (lub JavaScript) można odczytać token (co odpowiada jednej z sesji) z HTML strony i umieścić go we wniosku, to wiesz, kod, który skonstruował wniosek przyszedł ze swojej strony.

Jeśli po prostu sprawdzić, że jest w sesji, to wszystko co sprawdzają to, że użytkownik spowodował token zostać wygenerowane (co zazwyczaj oznacza po prostu odwiedzić dowolną stronę na swojej stronie ... co może być w ukrytej ramki).

ok. co jeśli atakujący ma JS, który może zawierać rzeczywisty formularza HTML z mojej strony do ukrytego iframe. Widziałem go w innym przykładzie, nie będzie token być zawarte w formularzu, gdy użytkownik odwiedza stronę atakującego podczas zalogowany? W tym przypadku wniosek byłby autentyczny jako znacznik jest tam w formie i w sesji albo ja czegoś brakuje? - Michael Samuel 15 listopada '14 w 23:58

Nie. Jeśli umieścisz ramkę wewnątrz formularza, pola na stronie obciążonej przez ramę nie zostaną uwzględnione w danych formularza. Nie można odczytać danych między domenami za pomocą ramki z JavaScript (chyba że strony współpracowały ze postMessage, które nie byłyby). - Quentin 16 listopada '14 w 0:02

Tak to wciąż niebezpieczne

CSRF żeton powinien być świeżo wygenerowane żeton za każdym razem wygenerować formularz. To musi być niepowtarzalny i nieprzewidywalny dla każdego żądania. Token sesja ustawić od logowania jest unikalna tylko dla całej sesji zalogowanego.

A jeśli nie pisać wygenerowany token do sprawdzenia, skąd go sprawdzić? Dopasować token z sesji. Powodem, dla którego się tak, ponieważ można jeszcze dać ludziom możliwość zrobienia żądania fałszerstwa, jeśli znacznik nie jest wysyłany z samego wniosku, ale wszystkie kontrole są wykonywane przez sesji / cookie. Jeśli tylko sprawdzić sesję robi nic przeciwko CSRF. To musi być wysłany w sam wniosek i sprawdzić, czy jest on zgodny sesji. Po wygenerować unikalny token dla każdego żądania, źli nie może posunąć się czyjąś prośbę.

Ochrona csrf drupal hosting w przeglądarce

odpowiedział 15 listopada '14 w 23:55

Obejrzyj ten film!

Powiązane artykuły

Drupal hosting z SSLHTTPS to protokół, który szyfruje żądań HTTP i ich reakcje. Gwarantuje to, że jeśli ktoś był w stanie zagrozić sieci między komputerem a serwerem którą wnioskujesz ...
Aegir Drupal usług hostingowychPicking hosting Drupal może być trudne zadanie, jeśli nie jesteś pewien, co jest dostępne. W niektórych przypadkach może być w porządku z czymś jak dzielonego hostingu środowiska, które Hostgator lub ...
Zmiana tabeli przedrostek hosting DrupalMam Drupal 7 strona działa na serwerze internetowym, obecnie przy użyciu bazy danych, który został utworzony z zewnątrz prefiksie. Ja próbuje przywrócić tej bazy danych do nowej instancji drupal od A ...
Miglior gospodarzem drupal tematówCzym jest Drupal? Drupal jest open source platformy zarządzania treścią, które można pobrać i używać za darmo. Składa się ona z podstawowej grupy plików, które są standardem we wszystkich instalacjach ...
Combell drupal hosting ukDrupal łatwa Jeśli stwierdzasz, że jest to system zarządzania treścią chcesz użyć, aby utworzyć własną stronę, dlaczego nie również użyć własnego adresu idealny internetową z nim? Pierwsze swoją stronę ...