- CSRF на търсачка
12345
WT форуми -> PHP MySQL ASP.NET -> CSRF на търсачка
Създайте нова тема Напишете отговор 
Автор Съобщение
dakata__92
Активен
Активен

Регистриран на: 02/08/2011 9:24 pm

Support: 119
Bonus: 231
Мнения: 3057
Мнение 11/04/2018 4:25 pm      Отговорете с цитат


pro12 написа:
На няколко места в интернет прочетох, че е добре да се защитим от фалшиви заявки и имаше пример пращат линк на Иван тои го отваря и му зарежда празна стр със скрита форма и така Иван добавя коментар.
От какви атаки да си пазя приложенията? sql injection, XSS

При такава ситуация ако нападателя използва само JS и HTML за да постне автоматично формата (тоест се ползва бот) при отваряне на някаква страница, ключът би защитил формата ти, защото JavaScript няма как да вземе съдържанието на страницата ти и посредством регулярен израз или друг приом да вземе скритият в полето ключ. До тук защитата ти ще работи добре, но и веднага се намесва PHP. Страницата влиза и взима активен ключ а от там попълва формата и JS довършва нещата. До тук и със защитата. Така че въпросната защита работи добре, до някакво положение. Трябва много неща да се комбинират за да се защитиш от CSRF, но и да кажем, че трябва да се придържаш към новите стандарти за писане на код.
Върнете се в началото
Вижте профила на потребителя Изпратете лично съобщение
dakata__92
Активен
Активен

Регистриран на: 02/08/2011 9:24 pm

Support: 119
Bonus: 231
Мнения: 3057
Мнение 11/04/2018 4:35 pm      Отговорете с цитат


В някои форуми решават проблема по такъв начин:
1
<form action="//www.domain.bg/forum/language/?csrfKey=f3787ccac05702ecb20d964782b2a1a8" method="post">

2
<form action="//www.domain.bg/forum/profile/?csrfKey=f3787ccac05702ecb20d964782b2a1a8" method="post">

3
<form action="//www.domain.bg/forum/settings/?csrfKey=f3787ccac05702ecb20d964782b2a1a8" method="post">

като тук работят по-централизирано и с еднозначно генериран ключ за цялата страница и всички форми в нея, като това води до използването само на една форма при един рефреш. Не лоша логика на защита, но и тя е уязвима, ако бот може да достъпи и вземе активен ключ.
Върнете се в началото
Вижте профила на потребителя Изпратете лично съобщение
pro12
Турист
Турист

Регистриран на: 10/01/2013 5:08 pm

Support: 0
Bonus: 0
Мнения: 444
Мнение 11/04/2018 4:36 pm      Отговорете с цитат


Къде да ги видя новите стандарти за писане на код?
Върнете се в началото
Вижте профила на потребителя Изпратете лично съобщение
dakata__92
Активен
Активен

Регистриран на: 02/08/2011 9:24 pm

Support: 119
Bonus: 231
Мнения: 3057
Мнение 11/04/2018 4:43 pm      Отговорете с цитат


pro12 написа:
Къде да ги видя новите стандарти за писане на код?

Отговора е в добре забравеното старо. Правилното писане и структуриране на системата е важно за апликацията. Спазвай PHP PSR, преди да напишеш нещо се поитнересувай другите как са решили този проблем, дори маловажен да ти се стори. Чети и питай. Няма място където всичко да е синтезирано и оформено добре, просто на различни места ще намериш различно полезна информация. Ето, днес научи, че ключът помага при по-прости автоматизирани системи, време е да се поровиш как да защитиш системата си от спам. Не само капча е решението на проблема ти. Има и други приоми с време от последната заявка или брой заявки в минута или flood защити и много други неща. SQLi и XSS са вече други типове атаки, които изискват четене и недопускане на нефилтрирано съдържание от формите.
Върнете се в началото
Вижте профила на потребителя Изпратете лично съобщение
Покажи мнения от преди:    
Създайте нова тема   Напишете отговор    web-tourist.net Форуми -> PHP MySQL ASP.NET Часовете са според зоната GMT + 2 Часа
12345
Страница 5 от 5


 
Идете на:  
Не Можете да пускате нови теми
Не Можете да отговаряте на темите
Не Можете да променяте съобщенията си
Не Можете да изтривате съобщенията си
Не Можете да гласувате в анкети