CSRF संरक्षण Drupal होस्टिंग

मैं कुछ पीएचपी पोस्ट स्क्रिप्ट है कि मैं CSRF हमलों से बचाने के लिए की जरूरत है और कई प्रश्न हैं है:

मूल्यों सीधे HTML तत्वों से मैं अभी भी CSRF के जोखिम में हो रही है और jQuery का उपयोग कर उन्हें प्रस्तुत 1) अगर मैं एक HTML फ़ॉर्म बिना jQuery का उपयोग कर PHP में पोस्ट अनुरोध प्रविष्ट, बस हो सकता है, कर रहा हूँ?

2) वेबसाइट में किसी उपयोगकर्ता के लॉग, मैं एक सत्र चर में उनके अद्वितीय टोकन संगृहीत है। यदि उस सत्र चर सेट और एक ही मूल्य मैं पहले सेट है पीएचपी पोस्ट स्क्रिप्ट में मैं की जाँच करें। वह पर्याप्त नहीं है? क्यों इसके लिए टोकन HTML प्रपत्र में शामिल किया जाना और साथ ही आवश्यक है?

CSRF संरक्षण Drupal होस्टिंग, जिसमें से मेल खाता है

23:43 पर नवंबर 15 '14 पूछा

  1. हाँ। यह कोई फर्क नहीं पड़ता कि कैसे आप अनुरोध का निर्माण, हमलावर एक ही तरीके से एक का निर्माण कर सकते हैं। (सिद्धांत रूप में आप एक जटिल अनुरोध की सुविधाओं (जो, एक CORS preflight अनुरोध को ट्रिगर करेगा) अनिवार्य ताकि अन्य साइट उपयोगकर्ता के ब्राउज़र पूरे अनुरोध नकल करने नहीं मिल सका कर सकता है, लेकिन मुझे लगता है कि इस पर निर्भर नहीं करना चाहेंगे) ।
  2. नहीं

टोकन की बात यह देखना होगा कि पृष्ठ कोड तय करने के लिए क्या अनुरोध में चला जाता है के लिए जिम्मेदार है (यानी फार्म या जावास्क्रिप्ट) शामिल अपनी वेबसाइट पर एक पेज है।

प्रपत्र (या जावास्क्रिप्ट) पृष्ठ के HTML से एक टोकन (जो सत्र में एक ही मेल खाता है) पढ़ सकते हैं और अनुरोध में रख सकते हैं, तो आप जानते हैं कि कोड है कि अनुरोध का निर्माण अपनी साइट से आया है।

तुम सिर्फ जांच करें कि यह सत्र में है, तो आप सभी की जाँच कर रहे हैं कि उपयोगकर्ता का कारण बना है एक टोकन उत्पन्न करने (जो आम तौर पर सिर्फ अपनी साइट ... जो एक छिपे हुए फ्रेम में हो सकता है पर किसी भी पृष्ठ पर जाकर इसका मतलब है) है।

ठीक। क्या हुआ अगर हमलावर एक जे एस कि एक छिपा iframe में मेरी वेबसाइट से वास्तविक HTML फार्म शामिल कर सकते हैं के बारे में है। मैं एक और उदाहरण में यह देखा है, टोकन के रूप में शामिल नहीं किया जाएगा उपयोगकर्ता हमलावर वेबसाइट पर जाता है, तो लॉग इन रहते हुए? इस मामले में अनुरोध प्रामाणिक होगा के रूप में टोकन के रूप में और सत्र में नहीं है या मैं कुछ याद आ रही है? - माइकल सैमुएल नवंबर 15 '14 23:58 पर

नहीं। आप एक फार्म के अंदर एक फ्रेम डालें, तो पेज फ्रेम द्वारा लोड में फ़ील्ड्स प्रपत्र डेटा में शामिल नहीं किया जाएगा। (साइट जब तक postMessage, जो आप नहीं होगा के साथ सह-संचालित) आप डोमेन के बीच डेटा जावास्क्रिप्ट के साथ एक फ्रेम के माध्यम से नहीं पढ़ सकता। - क्वेंटिन नवंबर 16 '14 0:02 पर

हाँ, यह अभी भी असुरक्षित है

एक CSRF टोकन हर बार जब आप एक फ़ॉर्म जनरेट करने के लिए एक हाल में जेनरेट किया गया टोकन होना चाहिए। यह अद्वितीय और प्रत्येक अनुरोध के लिए अप्रत्याशित की जरूरत है। एक सत्र टोकन लॉगिन से सेट पूरे लॉग इन सत्र के लिए केवल अद्वितीय है।

और अगर आप की जाँच करने के जेनरेट किया गया टोकन पोस्ट न करें, जहां आप इसे जांच कैसे करूं? आप के साथ सत्र टोकन मेल खाते हैं। कारण है कि क्योंकि आप अभी भी लोगों के लिए एक अनुरोध जालसाजी करने के लिए संभावना है, अगर टोकन अनुरोध के साथ ही नहीं भेजी जाती है दे सकते हैं, लेकिन सभी चेक सत्र / कुकीज़ द्वारा किया जाता है। आप केवल सत्र की जांच अगर यह CSRF के खिलाफ कुछ नहीं करता है। यह अनुरोध अपने आप में भेजा है और जाँच की है, तो यह आपके सत्र से मेल खाता है की जरूरत है। जब आप प्रत्येक अनुरोध के लिए एक अद्वितीय टोकन उत्पन्न करते हैं, बुरे लोगों को किसी के अनुरोध बनाने नहीं कर सकते।

CSRF संरक्षण Drupal के लिए ब्राउज़र की मेजबानी

नवंबर 15 '14 जवाब 23:55 पर

इस वीडियो को देखें!

संबंधित आलेख

Drupal ssl साथ होस्टिंगHTTPS का एक प्रोटोकॉल जो HTTP अनुरोध और अपनी प्रतिक्रिया एन्क्रिप्ट करता है। इससे यह सुनिश्चित होता है कि अगर किसी को अपने कंप्यूटर और सर्वर अनुरोध कर रहे हैं के बीच नेटवर्क समझौता करने में सक्षम थे ...
Aegir Drupal होस्टिंग सेवाओंयदि आप सुनिश्चित आपके लिए क्या उपलब्ध है नहीं कर रहे हैं Drupal होस्टिंग चुनने एक चुनौतीपूर्ण काम हो सकता है। कुछ मामलों में, आप एक साझा होस्टिंग वातावरण है कि Hostgator या की तरह कुछ के साथ ठीक हो सकती है ...
तालिका बदलें उपसर्ग Drupal होस्टिंगमैं एक Drupal 7 साइट एक वेबसर्वर पर चल रहा है, यह वर्तमान में एक डेटाबेस एक उपसर्ग बाहर से बनाया गया था कि का उपयोग कर रहा है। मैं एक से एक नए Drupal उदाहरण है कि डेटाबेस पुनर्स्थापित करने का प्रयास कर रहा हूँ ...
Miglior Drupal विषयों की मेजबानीDrupal क्या है? Drupal डाउनलोड किया जा सकता है कि और नि: शुल्क किया एक खुला स्रोत सामग्री प्रबंधन मंच है। यह फ़ाइलों कि सभी प्रतिष्ठानों पर मानक हैं की एक कोर ग्रुप के होते हैं ...
Combell Drupal होस्टिंग ब्रिटेनआप का फैसला किया गया है कि इस सामग्री प्रबंधन प्रणाली आप अपनी साइट बनाने के लिए उपयोग करना चाहते हैं Drupal करना आसान हो गया है, क्यों भी इसके साथ अपनी खुद की सही वेब पते का उपयोग नहीं? अपनी वेबसाइट हो रही है ...