Ranljivost CSRF – prepogosto prezrta, vendar ogroža spletne aplikacije

Ko gre za varnost spletnih aplikacij, ranljivost CSRF (Cross-Site Request Forgery) ni redkost. Vse prepogosto je spregledana, glede na to, da so posledice zlorabe vse prej kot nedolžne. Neustrezna zaščita lahko vodi v krajo podatkov, gesel ali celo nezaželen prenos finančnih sredstev

Najbolj pogosti primeri ranljivih funkcij

  • Nepooblaščeno spreminjanje gesel uporabnikov.
  • Nepooblaščeno dodajanje uporabnikov s strani skrbnika.
  • Spreminjanje podatkov v profilih uporabnikov.

Na primer, da aplikacija na funkciji menjave gesla nima vzpostavljene CSRF zaščite. V takšnem primeru napadalec brez večjih težav klic z geslom, ki ga sam določi, podtakne žrtvi. Vse, kar potrebuje, je nepreviden klik na URL klicin geslo uporabniškega računa žrtve je spremenjeno po njegovih željah.

Aplikacija lahko parametre izdaja na marsikateri točki

  • Lahko so vidni na izpisih prijavljenih uporabnikov.
  • Lahko so vidni v HTML kodi sporočila,
  • Uporabnik lahko to informacijo enostavno ugane.

 

Ocena situacije glede na to kakšna je realna možnost, da napadalec pride do informacije o dodatnih parametrih, neposredno vpliva na določitev nivoja ogroženosti, ki ga prinaša ranljivost CSRF. V določenih primerih je uspešen napad odvisen od prevare uporabnika (tudi z uporabo ‘phishing’ e-sporočila), da ta izvede prijavo v aplikacijo ali klik na podtaknjen URL. Zmožnost napadalca, da mu uspe pripraviti celovito in uspešno prevaro, ima velik vpliv na oceno nivoja ogroženosti.

Ali lahko ranljivost CSRF preprečimo?

Vsekakor! Spletne aplikacije morajo biti sposobne razlikovati med klici, ki jih uporabniki posredujejo namerno, in tistimi, ki jih posredujejo nehote. V kolikor aplikacija tega ni sposobna, je izpostavljena številnim zlorabam in napadom CSRF, ki lahko vodijo v krajo osebnih podatkov, gesel ali celo v nezaželen prenos denarnih sredstev. Varnostni pregled, ki se osredotoča na spletne aplikacije, je zato nuja, saj razkrije varnostne pomanjkljivosti in ranljivosti.

 

Kako preprečiti ranljivost CSRF skupaj z 10 nasveti, kako se ubraniti pred napadi najdete v najnovejši beli knjigi z naslovom Ali so vaše spletne aplikacije odporne na ranljivost CSRF.


Kam vam lahko pošljemo belo knjigo?

Soglašam, da zaupane osebne podatke hranite in uporabite za obveščanje o:




Vaše podatke bomo hranili in obdelovali za občasno posredovanje strokovnih vsebin in vabil na specializirane dogodke preko elektronske pošte. Vaše osebne podatke bomo uporabljali zaupno in jih ne bomo posredovali tretjim osebam. Vašo zasebnost obravnavamo v skladu z določili GDPR in Zakonom o varstvu osebnih podatkov.

Privolitev lahko kadarkoli prekličete, ob prejemu e-sporočila ali na e-naslov marketing@smart-com.si posredujete sporočilo z naslovom Odjava. Po obdelavi zahteve za odjavo vam bo Smart Com prenehal pošiljati vsebine od katerih ste se odjavili.

Podrobnosti o odjavi, obdelavi in varovanju osebnih podatkov si preberite v Pravnih obvestilih.