CSRF perlindungan drupal hosting

Saya mempunyai beberapa skrip PHP POST bahawa saya perlu untuk melindungi daripada serangan CSRF dan mempunyai beberapa soalan:

1) Jika saya mengemukakan permintaan POST untuk PHP menggunakan jquery tanpa bentuk HTML, hanya menjadi mendapat nilai langsung dari unsur-unsur HTML dan menyerahkan mereka menggunakan jquery, adakah saya masih menghadapi risiko CSRF?

2) Apabila pengguna log masuk ke laman web, saya menyimpan token unik mereka dalam pembolehubah sesi. Dalam skrip PHP POST saya memeriksa jika pembolehubah sesi ditetapkan dan mempunyai nilai yang sama kubentangkan. Adakah itu tidak mencukupi? mengapa ia diperlukan untuk token yang hendak dimasukkan dalam bentuk HTML juga?

CSRF perlindungan drupal hosting yang sepadan dengan salah dalam

ditanya 15 Nov '14 pada 23:43

  1. Ya. Tidak kira bagaimana anda membina permintaan itu, penyerang boleh membina satu dalam cara yang sama. (Dalam teori anda boleh membuat ciri-ciri permintaan kompleks (yang akan mencetuskan permintaan preflight CORS) wajib, jadi bahawa laman web lain tidak boleh mendapatkan pelayar pengguna untuk membuat salinan keseluruhan permintaan itu, tetapi saya tidak mahu bergantung kepada itu) .
  2. Tiada

Titik tanda itu adalah untuk menyemak bahawa laman yang mengandungi kod yang bertanggungjawab untuk memutuskan apa yang berlaku dalam permintaan itu (iaitu bentuk atau JavaScript) adalah halaman di laman web anda.

Borang yang (atau JavaScript) boleh membaca tanda (yang sepadan dengan salah dalam sesi) dari HTML halaman dan meletakkan ia dalam permintaan itu, maka anda tahu kod yang dibina permintaan itu datang dari laman web anda.

Jika anda hanya menyemak bahawa ia adalah dalam sesi itu, maka semua yang anda mendaftar adalah bahawa pengguna telah menyebabkan tanda untuk dihasilkan (yang biasanya hanya bermakna melawat mana-mana halaman di laman web anda ... yang boleh dalam rangka tersembunyi).

okey. bagaimana pula jika penyerang mempunyai JS yang boleh termasuk BORANG HTML sebenar dari laman web saya ke dalam iframe tersembunyi. Saya telah melihat dalam contoh lain, Tidak akan cara yang dimasukkan ke dalam borang jika pengguna melawat laman web penyerang semasa log masuk? Dalam kes ini permintaan itu akan menjadi sahih sebagai cara yang ada dalam bentuk dan pada sesi atau saya kehilangan sesuatu? - Michael Samuel 15 Nov '14 pada 23:58

No. Jika anda meletakkan bingkai dalam borang, bidang di halaman yang dimuatkan oleh bingkai tidak akan dimasukkan dalam data bentuk. Anda tidak boleh membaca data merentasi domain melalui rangka dengan JavaScript (kecuali laman bekerjasama dengan postMessage, yang anda tidak akan menjadi). - Quentin 16 Nov '14 pada 00:02

Ya ia masih tidak selamat

Token CSRF harus menjadi tanda yang baru dihasilkan untuk setiap kali anda menjana borang. Ia perlu menjadi unik dan tidak dapat diramalkan untuk setiap permintaan. Token sesi ditetapkan dari login hanya unik untuk sesi log keseluruhan.

Dan jika anda tidak menghantar token yang dijana untuk memeriksa, di mana anda check it? Anda sepadan token sesi dengan. Sebab mengapa adalah kerana anda masih boleh memberi orang kemungkinan untuk melakukan permintaan pemalsuan, jika cara yang tidak dihantar dengan permintaan itu sendiri, tetapi semua cek dilakukan oleh sesi / cookies. Jika anda hanya menyemak sesi yang ia tidak apa-apa terhadap CSRF. Ia perlu dihantar dalam permintaan itu sendiri dan ditanda jika ia sepadan sesi anda. Apabila anda menjana token unik untuk setiap permintaan, orang jahat tidak boleh menjalin permintaan seseorang.

CSRF perlindungan drupal hosting browser untuk

menjawab 15 Nov '14 di 23:55

Menonton video ini!

Artikel berkaitan

Drupal hosting dengan sslHTTPS adalah protokol yang menyulitkan permintaan HTTP dan jawapan mereka. Ini memastikan bahawa jika seseorang mampu untuk berkompromi rangkaian antara komputer anda dan pelayan anda meminta ...
Aegir perkhidmatan drupal hostingMemilih Drupal hosting boleh menjadi satu tugas yang mudah jika anda tidak pasti apa yang disediakan untuk anda. Dalam beberapa kes, anda mungkin baik dengan sesuatu seperti persekitaran hosting yang dikongsi bersama yang Hostgator atau ...
Perubahan jadual awalan drupal hostingSaya mempunyai laman drupal 7 berjalan pada pelayan web, ia kini menggunakan pangkalan data yang telah dicipta dengan keluar awalan. Saya sedang cuba untuk memulihkan pangkalan data yang kepada contoh drupal baru dari ...
Miglior hosting tema drupalApa yang Drupal? Drupal adalah kandungan sumber platform pengurusan terbuka yang boleh dimuat turun dan digunakan secara percuma. Ia terdiri daripada satu kumpulan teras fail yang standard pada semua pemasangan, ...
Combell drupal hosting ukDrupal mudah Jika anda telah memutuskan bahawa ini adalah sistem pengurusan kandungan yang anda mahu gunakan untuk mewujudkan laman web anda, keluar dan menggunakan alamat web anda sendiri sempurna dengan ia? Mendapatkan laman web anda ...