AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

[Web] CSRF Attacken

Ein Thema von mquadrat · begonnen am 30. Okt 2008 · letzter Beitrag vom 31. Okt 2008
Antwort Antwort
mquadrat

Registriert seit: 13. Feb 2004
1.113 Beiträge
 
Delphi XE2 Professional
 
#1

[Web] CSRF Attacken

  Alt 30. Okt 2008, 09:41
Morgen zusammen,

Egal welche Plattform man für seine Webseiten nutzt, muss man sich irgendwann die Frage stellen, ob das selbstentwickelte Prachtstück sicher ist oder nicht.

Ich grübel derzeit über die Absicherung gegen CSRF Attacken. Das erste was man meist lies ist die Seite komplett auf POST umzustellen. Dies ist zum einen bei manchen Sachen nicht möglich und zum anderen nützt es gegen einen Angreifer, der mehr als 2 Minuten in den Angriff investiert nichts bis gar nichts.

Nächster Tipp ist dann meist das Prüfen des Referrers. Das wird auch nicht wirklich funktionieren, zumal inzwischen die Übertragung des Referrers oft abgeschaltet ist. Was nicht gesendet wird, kann man auch nicht prüfen.

Bleibt noch alle wichtigen Funktionen mittels Challenge/Response abzusichern. Damit hat man schonmal alle abgewehrt, die einfach nur ein Post auf die Seite loslassen. Aber kommt man nicht auch hier relativ leicht drumrum? Nehmen wir ein Formular für Online-Überweisung als Beispiel. Könnte ich als Angreifer jetzt nicht einfach einen IFrame auf meine manipulierte Seite packen, der das Quellformular abruft? Dann hätte er doch auch den Challenge-Token und könnte damit die Tokenprüfung simpel aushebeln.

Wie sieht also eine gute Abwehrmethode aus? War bislang zu faul mal eine Demoattacke zu schreiben, daher könnte es sein, dass sich in meine theoretischen Gedanken schlicht ein Denkfehler eingeschlichen hat
  Mit Zitat antworten Zitat
Benutzerbild von OldGrumpy
OldGrumpy

Registriert seit: 28. Sep 2006
Ort: Sandhausen
941 Beiträge
 
Delphi 2006 Professional
 
#2

Re: [Web] CSRF Attacken

  Alt 30. Okt 2008, 12:37
In der iX war letztens mal ein Artikel dazu drin... Vielleicht hilft der Dir weiter. Wenn Du den nicht kriegen kannst, melde dich nochmal dann wühl ich mein Exemplar raus und fass Dir die Infos mal kurz zusammen.
"Tja ja, das Ausrufezeichen... Der virtuelle Spoiler des 21. Jahrhunderts, der Breitreifen für die Datenautobahn, die k3wle Sonnenbrille fürs Usenet. " (Henning Richter)
  Mit Zitat antworten Zitat
Benutzerbild von alcaeus
alcaeus

Registriert seit: 11. Aug 2003
Ort: München
6.537 Beiträge
 
#3

Re: [Web] CSRF Attacken

  Alt 30. Okt 2008, 19:29
Moin,

wenn du ein Session-basierendes Login-System hast kannst du auch einfach verlangen, dass fuer bestimmte Aktionen (z.B. Logout) die Session-ID nicht nur im Cookie sondern auch in der URL vorhanden ist (dass sie uebereinstimmen muessen erklaert sich wohl hoffentlich von selbst). So kann der Request nur mit Hilfe von JavaScript in deinem Code gestartet werden (bspw. ueber XSS) und dann hast du eh schon ganz andere Probleme

Greetz
alcaeus
Andreas B.
Die Mutter der Dummen ist immer schwanger.
Ein Portal für Informatik-Studenten: www.infler.de
  Mit Zitat antworten Zitat
mquadrat

Registriert seit: 13. Feb 2004
1.113 Beiträge
 
Delphi XE2 Professional
 
#4

Re: [Web] CSRF Attacken

  Alt 31. Okt 2008, 09:03
@Grumpy
Läuft gerade aus dem Drucker. Danke für den Hinweis.

Zitat von alcaeus:
wenn du ein Session-basierendes Login-System hast kannst du auch einfach verlangen, dass fuer bestimmte Aktionen (z.B. Logout) die Session-ID nicht nur im Cookie sondern auch in der URL vorhanden ist (dass sie uebereinstimmen muessen erklaert sich wohl hoffentlich von selbst). So kann der Request nur mit Hilfe von JavaScript in deinem Code gestartet werden (bspw. ueber XSS) und dann hast du eh schon ganz andere Probleme
Stimmt das wäre ne Möglichkeit. Die Session-ID würde ich ja dann via JavaScript auslesen und nicht schon mit der Seite mitschicken wie ein Challenge-Token. Und von ner fremden Seite kommt man via JavaScript ja nicht auf den Cookie.



Ich denk ich muss da dochmal ein paar Demoattacken machen.




@IX Artikel

Steh ich jetzt aufm Schlauch?! Die gute Dame empfiehlt den Token. Aber ich kann doch in der manipulierten Seite ein GET auf das Formular machen und schon hab ich nen eigenen Token. Den schick ich zurück und die Sicherheitsmaßnahme ist für die Tonne.
  Mit Zitat antworten Zitat
Antwort Antwort


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 09:00 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz