Ranljivost CSRF – prepogosto prezrta, vendar ogroža spletne aplikacije

Ko gre za varnost spletnih aplikacij, ranljivost CSRF (Cross-Site Request Forgery) ni redkost. Vse prepogosto je spregledana, glede na to, da so posledice zlorabe vse prej kot nedolžne. Neustrezna zaščita lahko vodi v krajo podatkov, gesel ali celo nezaželen prenos finančnih sredstev

Najbolj pogosti primeri ranljivih funkcij

  • Nepooblaščeno spreminjanje gesel uporabnikov.
  • Nepooblaščeno dodajanje uporabnikov s strani skrbnika.
  • Spreminjanje podatkov v profilih uporabnikov.

Na primer, da aplikacija na funkciji menjave gesla nima vzpostavljene CSRF zaščite. V takšnem primeru napadalec brez večjih težav klic z geslom, ki ga sam določi, podtakne žrtvi. Vse, kar potrebuje, je nepreviden klik na URL klicin geslo uporabniškega računa žrtve je spremenjeno po njegovih željah.

Aplikacija lahko parametre izdaja na marsikateri točki

  • Lahko so vidni na izpisih prijavljenih uporabnikov.
  • Lahko so vidni v HTML kodi sporočila,
  • Uporabnik lahko to informacijo enostavno ugane.

 

Ocena situacije glede na to kakšna je realna možnost, da napadalec pride do informacije o dodatnih parametrih, neposredno vpliva na določitev nivoja ogroženosti, ki ga prinaša ranljivost CSRF. V določenih primerih je uspešen napad odvisen od prevare uporabnika (tudi z uporabo ‘phishing’ e-sporočila), da ta izvede prijavo v aplikacijo ali klik na podtaknjen URL. Zmožnost napadalca, da mu uspe pripraviti celovito in uspešno prevaro, ima velik vpliv na oceno nivoja ogroženosti.

Ali lahko ranljivost CSRF preprečimo?

Vsekakor! Spletne aplikacije morajo biti sposobne razlikovati med klici, ki jih uporabniki posredujejo namerno, in tistimi, ki jih posredujejo nehote. V kolikor aplikacija tega ni sposobna, je izpostavljena številnim zlorabam in napadom CSRF, ki lahko vodijo v krajo osebnih podatkov, gesel ali celo v nezaželen prenos denarnih sredstev. Varnostni pregled, ki se osredotoča na spletne aplikacije, je zato nuja, saj razkrije varnostne pomanjkljivosti in ranljivosti.

 

Kako preprečiti ranljivost CSRF skupaj z 10 nasveti, kako se ubraniti pred napadi najdete v najnovejši beli knjigi z naslovom Ali so vaše spletne aplikacije odporne na ranljivost CSRF.