ranljivost CSRF

[BELA KNJIGA] Ranljivost CSRF – prepogosto prezrta, vendar ogroža spletne aplikacije

Want create site? With Free visual composer you can do it easy.

Cross-Site Request Forgery ali na kratko ranljivost CSRF ni redkost, posledice zlorabe pa so lahko vse prej kot nedolžne. Ključni izziv je v tem, da ranljivost napada »logiko« spletnih aplikacij.

Lahko rečemo, da je vsaka funkcija v aplikaciji potencialno ranljiva oz. omogoča zlorabo.

Najbolj pogosti primeri ranljivih funkcij so:

  • Nepooblaščeno spreminjanje gesel uporabnikov.
  • Nepooblaščeno dodajanje uporabnikov s strani skrbnika.
  • Spreminjanje podatkov v profilih uporabnikov.

Na primer, da aplikacija na funkciji menjave gesla nima vzpostavljene CSRF zaščite. V takšnem primeru napadalec brez večjih težav klic z geslom, ki ga sam določi, podtakne žrtvi. Vse, kar potrebuje, je nepreviden klik na URL klic in geslo uporabniškega računa žrtve je spremenjeno po njegovih željah.

Aplikacija lahko parametre izdaja na marsikateri točki:

  • lahko so vidni na izpisih prijavljenih uporabnikov,
  • lahko so vidni v HTML kodi sporočila,
  • uporabnik lahko to informacijo enostavno ugane.

Ocena situacije glede na to kakšna je realna možnost, da napadalec pride do informacije o dodatnih parametrih, neposredno vpliva na določitev nivoja ogroženosti, ki ga prinaša ranljivost CSRF. V določenih primerih je uspešen napad odvisen od prevare uporabnika (tudi z uporabo ‘phishing’ e-sporočila), da ta izvede prijavo v aplikacijo ali klik na podtaknjen URL. Zmožnost napadalca, da mu uspe pripraviti celovito in uspešno prevaro, ima velik vpliv na oceno nivoja ogroženosti.

 Ali lahko ranljivost CSRF preprečimo? Seveda!

Spletne aplikacije morajo biti sposobne razlikovati med klici, ki jih uporabniki posredujejo namerno, in tistimi, ki jih posredujejo nehote. V kolikor aplikacija tega ni sposobna, je izpostavljena številnim zlorabam in napadom CSRF, ki lahko vodijo v krajo osebnih podatkov, gesel ali celo v nezaželen prenos denarnih sredstev. Varnostni pregled, ki se osredotoča na spletne aplikacije, je zato nuja, saj razkrije varnostne pomanjkljivosti in ranljivosti.

Kako preprečiti ranljivost CSRF skupaj z 10 nasveti, kako se ubraniti pred napadi najdete v najnovejši beli knjigi našega strokovnjaka za kibernetsko varnost Vladimirja Bana z naslovom Ali so vaše spletne aplikacije odporne na ranljivost CSRF.

naslovnica-ranljivost-csrf

 

Želite več strokovnih vsebin s področja kibernetske varnosti?

Naročite naš mesečni e-novičnik.

Did you find apk for android? You can find new Free Android Games and apps.
[grwebform url="https://app.getresponse.com/view_webform_v2.js?u=V1sSi&webforms_id=6394102" css="on" center="off" center_margin="200"/]
[iframe-popup id="2"]