CSRF: puis-je utiliser un cookie?

Est-il correct de mettre le jeton CSRF dans un cookie? (et dans toutes les formes, comme un caché d'entrée, afin que je puisse vérifier si elles correspondent, bien sûr), j'ai entendu quelqu'un dire que de le faire, beats tout l'objet de la marque, même si je ne comprends pas pourquoi. Il semble sûr de moi.

Et si elle est sécurisée, c'est moins en sécurité que puting le jeton dans l'URL ?

Est-il une autre méthode?

Où puis-je lire plus sur le sujet?

Mise à JOUR: jusqu'à présent, personne ne peut me dire comment est le témoin de la méthode d'insécurité, si elle a encore de faire correspondre le jeton de la forme, que l'attaquant ne devrait pas être en mesure d'obtenir, à moins qu'il utilise un autre hack comme XSS, qui est une question différente, et ne peut toujours pas faire la différence entre l'utilisation de cookies et jeton d'url.

Mise à JOUR 2: Ok, on dirait que certains célèbres cadres de l'utilisation de cette méthode, donc ça devrait être bon. Grâce

InformationsquelleAutor HappyDeveloper | 2010-12-16
  1. 19

    L'utilisation de cookies œuvres, et est une pratique courante (e. g. Django utilise). L'attaquant ne peut pas lire ou modifier la valeur du cookie en raison de la même origine, de la politique, et ne peut donc pas deviner la bonne GET/POST paramètre.

    • IMPORTANT: le serveur doit toujours vérifier que le CSRF valeur envoyée par la forme et la valeur reçue par l'intermédiaire de cookies match. La protection CSRF ne fonctionne que si le serveur de vérification croisée des données de cookie avec la POSTE (ou OBTENIR) des données.
    • ce n'est pas important. c'est crucial- sinon, les diables peuvent envoyer "supprimer mon compte "liens" - où le cookie sera envoyé et autorisé. si un match doit ÊTRE FAIT.
    • Ce que je ne comprends pas: ne Peut pas un attaquant avec un site web malveillant utiliser JavaScript pour lire le cookie? Le navigateur par défaut d'interdire la lecture de cookies pour d'autres sites web?
    • yep, comme je l'ai dit, de même la politique de l'origine.
    • Ce I ne comprends pas: est de comparer le champ caché jeton avec le cookie jeton d'une alternative à la comparaison entre le champ caché jeton avec un jeton stockées côté serveur au moment de la génération du jeton? Est-il une préférence entre les deux approaces?
    • Oui, l'idée est que vous mettez une valeur dans le formulaire lorsque vous générez, lire en arrière quand vous le recevez, et les deux valeurs correspondant est la preuve que celui qui a soumis le formulaire peut également le lire (=a la même origine sur l'accès). Les Cookies et les sessions sont les deux méthodes simples pour persister que la valeur de sorte que le serveur ne sait comment faire pour vérifier. La séance est un peu plus sécurisé que vous pouvez utiliser des valeurs différentes pour les différentes régions du site, et vous n'avez pas à vous soucier de sous-domaine / domaine parent attaques; ils sont aussi légèrement plus difficile à mettre en œuvre.

    InformationsquelleAutor Tgr
  2. 1

    Découvrez la Chiffré Jeton De Modèle, ce qui permet d'apatride, de la protection CSRF sans avoir besoin de stocker des jetons sur le serveur.

    InformationsquelleAutor Paul Mooney
  3. 0

    "CSRF fonctionne parce que de nombreux sites utilisent des demandes pour exécuter des commandes.", donc, beaucoup de sites ne pas utiliser la méthode GET comme prévu, parce que ces demandes doivent être idempotent: voir la rfc2616.

    "Le CSRF paramètre est déjà là dans le cookie, et il est envoyé le long de la session.", alors, comment?

    Le cookie n'est utilisé a un jeton de stockage, comme les DOM lorsque nous avons créé la marque dans un champ caché. Un morceau de code javascript doit obtenir la valeur du jeton de ce cookie, et le définir comme un paramètre dans l'URL, le corps de la requête ou dans l'entête de la requête. Il sera sur le serveur avec la valeur stockée dans la session. C'est le Django façon de gérer le jeton CSRF.

    Javascript ne peut pas accéder au cookie d'un autre domaine, en raison de la croix domaine de la protection du navigateur, donc je ne sais pas comment un utilisateur malveillant peut forcer quelqu'un à envoyer le bon jeton d'une fausse demande. Avec une XSS, oui, mais XSS la défaite de la commune CSRF des contre-mesures.

    Je préfère donner cette précision, parce que je pense que c'est une question importante et pas facile à gérer.

    Requête GET doit être utilisé pour obtenir une ressource et/ou l'affichage de ses données, il ne doit pas être utilisé pour changer son état (de suppression, de la propriété d'incrémentation ou de toute modification).

    La validation CSRF doit être fait côté serveur, il semble être évident, mais je l'ai mis comme un rappel. Cette méthode ne peut pas être un vecteur d'attaque si vous observez cette recommandations.

    • Notez que idempotent != safe. Par exemple GET http://example.com/api/item/123/delete pourrait être mise en œuvre idempotent (qui est, le résultat est identique, peu importe si le GET est soumis 1,2,3,..., ou N fois).
    • "peut être mis en œuvre idempotent", mais il ne devrait pas : l'état a changé après un appel à cette suppression d'extrémité et doit répondre avec un HTTP 202 Accepté (si la ressource n'a pas été supprimé/modifié), pas un 200 OK (il a été supprimé avec succès). Il y a les meilleures pratiques, et donc, un rendez doit jamais être utilisé pour rien d'autre que la sortie de la représentation d'une ressource.
    • Je suis d'accord que GET doit seulement être utilisé pour les demandes visible sans effets secondaires, mais quelqu'un a la lecture de la spécification HTTP peut-être à la suite de la "quantité" de la partie, ce qui permet pour plus d'effets.
    • ce n'est pas idempotent moyens. Découvrez HTTP définition de la méthode de spécification. Selon la spécification, PUT et DELETE sont équipotentes, mais ils ne sont pas à l'abri de la méthode.
    InformationsquelleAutor Dinacel
  4. 0

    Si vous décidez de mettre le CSRF token dans un cookie alors n'oubliez pas de marquer le cookie comme HttpOnly. Si votre site a un cross site scripting vulnerability le hacker ne pas être en mesure de lire les CSRF token. Vous pouvez vérifier les cookies qui peuvent être lus par JavaScript à l'aide de la commande console.log(document.cookie) dans n'importe quel navigateur moderne de la console. Si vous avez des cookies de session ou sensibles à ces cookies doivent également être marqués comme HttpOnly.

    Pour en savoir plus:

    https://www.owasp.org/index.php/HttpOnly

    • Comment voulez-vous lire le jeton, puis de l'envoyer avec l'en-tête (=Double Soumettre) sur le côté client? Mettre le Jeton CSRF de la protection cookie n'est possible que si le serveur dispose également d'une forme cachée d'entrée-champ avec le jeton. De nombreuses Api ne fournissons pas les formes, de sorte que vous devez être en mesure de lire les CSRF token avec Javascript. Donc je suppose que mieux fait de ne pas avoir une vulnérabilité XSS.
    • Pourquoi vous ne pourriez pas vous rendre le formulaire sur le côté serveur, y compris le jeton, le serveur a savoir tout de même? Ou voulez-vous dire de haut niveau des cadres, où l'on ne travaille pas avec des modèles de plus, ce qui ne fournissent pas les fonctionnalités à inclure la valeur du jeton dans le formulaire?
    • J'ai écrit "côté client". Donc, si vous avez par exemple un RESTE de l'API, il n'y a pas de modèles et de formulaires fournis par le serveur.
    • HttpOnly est un must absolu pour les cookies qui stockent des Id de session afin de prévenir contre les attaques XSS, mais CSRF est un autre problème. Pour éviter CSRF, le client doit connaître le jeton CSRF, si c'est caché dans un champ dans un formulaire, ou joint à un en-tête d'un appel ajax via JavaScript.
    InformationsquelleAutor Ogglas
  5. -2

    À l'aide d'un cookie ayant pour but de CSRF. Voici pourquoi:

    CSRF fonctionne parce que de nombreux sites utilisent des demandes pour de l'exécution des commandes. Donc, dire que Bob a une sorte de web d'administration de compte et qu'il est connecté à celle-ci. Une demande peut être effectué comme:

    http://somesite.com/admin/whatever.php?request=delete_record&id=4

    Alors maintenant, Bob obtient lié à une attaque de site (quelqu'un essaie de jouer avec ses données). L'attaquant des charges de l'URL ci-dessus dans une image, sans doute avec un autre ID et supprime certains autres documents. Le navigateur charge parce que Bob est déjà connecté à son admin du site donc il a une session valide.

    CSRF cherche à éliminer ce problème en ajoutant un paramètre secure à la transaction. Ce paramètre doit tourner sur chaque demande et ensuite être renvoyé par le navigateur. Faire de l'URL ressemble à quelque chose comme ceci:

    http://somesite.com/admin/whatever.php?request=delete_record&id=4&csrf=<some long checksum>

    L'idée est que, désormais, l'attaquant de deviner "certains long de la somme de contrôle" pour créer une attaque. Et si la somme de contrôle tourne sur chaque demande et il doit être pratiquement impossible.

    MAIS si vous stockez de la somme de contrôle dans un cookie, vous êtes de retour à la case 1. L'attaquant n'a plus à le deviner. Il a juste de l'artisanat de l'URL d'origine. Les CSRF paramètre est déjà là dans le cookie, et il est envoyé le long de la session. Il n'arrête pas de la précarité du comportement de se produire.

    • Mais comment est l'attaquant va récupérer le jeton de le mettre dans le champ caché du formulaire? Si il ne veut pas, il ne sera pas un match, et je vais rejeter la demande.
    • Aussi, vous avez dit que CSRF fonctionne parce que le ppl utiliser GET pour exécuter des commandes. Mais CSRF travaille avec des POST trop autant que je sache.
    • +1 réponse parfaite.
    • il peut obtenir le jeton avec XSS+XHR comme le Sammy ver, l'autre sage ses limites en raison de la même origine.
    • Je ne vois pas en quoi c'est une réponse idéale, si il est dit que l'attaquant a seulement besoin de l'URL d'origine: Encore une fois, comment est l'attaquant qui va faire de la forme de jeton et le cookie jeton match?. Si mon site est vulnérable aux attaques de type XSS qui est un autre chose, et je ne vois pas en quoi il serait moins sécurisé que le jeton dans l'URL. Si l'attaquant peut obtenir le jeton de la forme via XSS, alors il peut obtenir à partir de l'URL. Suis-je tort?
    • Oui CSRF peut se produire avec les POST trop. Plus commun parce que c'est plus facile. La forme de jetons pour correspondre à ce que s'affiche dans le cookie. Ainsi, l'attaquant n'a pas à faire quoi que ce soit. Il envoie la demande de retour et le cookie est lu par votre serveur.
    • vous n'avez aucune idée de ce qui se passe. Veuillez lire le plus de base introduction à la CSRF, et l'OWASP CSRF de prévention de la feuille de triche.
    • Aussi la POSTE basé CSRF exploits sont tout aussi commun, et tout aussi facile à exploiter que d'OBTENIR. Appelez simplement document.getElementById(1).submit() pour envoyer automatiquement le formulaire lors de ses vues.
    • Il est clair à partir de (au moins la version actuelle de la question) que HappyDeveloper entend ÉGALEMENT passer le jeton via un paramètre HTTP (via le champ de formulaire masqué) et puis les vérifier par rapport au témoin. Il s'agit d'une façon acceptable d'empêcher les attaques de type CSRF. Aussi, ne vous inquiétez pas à propos de pirates à l'aide de XSS pour voler le jeton du cookie. Si un attaquant peut placer XSS sur votre site, vous avez beaucoup plus de préoccupations que CSRF et doivent composer avec les XSS problème en premier lieu.
    • Vieux thread, je sais, mais il la fixa de ma curiosité. Juste mes 2 cents, mais si vous avez une fonction f(c,t) avec c comme valeur de cookie et t comme une forme de jeton de vérifier les 2 sur le côté serveur, il n'y a pas besoin de f(c, t) pour évaluer c === t est-il? Il pourrait être un propre formule pour générer des c de t ou vice versa, afin d'obtenir le jeton n'est pas assez, l'attaquant doit deviner la relation entre les deux ainsi.
    • Je ne comprends pas pourquoi les downvotes. +1 . un diable pouvez envoyer un lien supprimer le compte , le cookie sera également envoyé. le fait de penser qui ne sont pas envoyés est la forme de la valeur. donc un match entre coockie et la forme doivent être effectuées . c'est tout
    • Soit vous êtes à la traîne ou que vous avez mal. Le cookie ne permet pas de remplacer le paramètre de la requête, cookie est utilisé dans le paramètre de la requête, il est utilisé sur le serveur pour vérifier le paramètre de la requête.

    InformationsquelleAutor Cfreak