CSRF proteção drupal hospedagem

Eu tenho alguns scripts PHP POST que eu preciso para proteger de ataques CSRF e têm várias perguntas:

1) Se eu enviar solicitações POST para PHP usando jquery sem um formulário HTML, basta estar recebendo valores diretamente dos elementos HTML e submetê-los usando jquery, eu ainda estou em risco de CSRF?

2) Quando um usuário se conecta ao site, eu armazenar seu token exclusivo em uma variável de sessão. No script PHP POST eu verificar se essa variável de sessão é definida e tem o mesmo valor que ponho diante. Não é o suficiente? por que é necessário para o token a ser incluído no formulário HTML também?

Csrf hospedagem protecção drupal que corresponde a um em

perguntou 15 de novembro '14 em 23:43

  1. Sim. Não importa como você construir o pedido, o atacante pode construir um na mesma maneira. (Em teoria, você poderia fazer características de um pedido complexo (que iria desencadear um pedido comprovação CORS) obrigatórios, de modo que outro site não conseguia navegador do usuário para duplicar todo o pedido, mas eu não gostaria de depender de que) .
  2. Não

O ponto do token é verificar que a página que contém o código responsável por decidir o que se passa no pedido (ou seja, a forma ou o JavaScript) é uma página em seu site.

Se o formulário (ou JavaScript) pode ler um símbolo (o que corresponde a um na sessão) do HTML da página e colocá-lo no pedido, então você sabe o código que construiu o pedido veio de seu site.

Se você acabou de verificar se é na sessão, então tudo o que está a verificar é que o usuário tem causado um token a ser gerado (o que geralmente significa apenas visitar qualquer página em seu site ... o que poderia ser em um quadro oculto).

Está bem. o que dizer se o atacante tem um JS que pode incluir o formulário HTML real do meu site em um iframe escondido. Eu já vi isso em outro exemplo, não vai o token ser incluído no formulário se o usuário visitar o site do atacante enquanto estiver conectado? Neste caso, o pedido seria autêntica como o token está lá na forma e na sessão ou estou faltando alguma coisa? - Michael Samuel 15 nov '14 às 23:58

Não. Se você colocar um quadro dentro de um formulário, os campos na página carregada pela armação não serão incluídos nos dados do formulário. Você não pode ler dados em vários domínios através de um quadro com JavaScript (a menos que o site cooperou com postMessage, que você não seria). - Quentin 16 de novembro '14 em 00:02

Sim, ainda é inseguro

Um token CSRF deve ser um símbolo recém-gerado para cada vez que você gerar um formulário. Ele precisa ser único e imprevisível para cada solicitação. Um token de sessão definido a partir de login só é exclusivo para a sessão inteira registrado.

E se você não postar o token gerado para verificar, onde você verificá-la? Você coincidir com o token de sessão com. A razão é porque você ainda pode dar às pessoas a possibilidade de fazer uma falsificação do pedido, se o token não é enviado com o pedido em si, mas todas as verificações são feitas por sessão / cookies. Se você verificar apenas a sessão não faz nada contra CSRF. Ele precisa ser enviada no próprio pedido e verificado se ele corresponde a sua sessão. Quando você gerar um token exclusivo para cada pedido, os bandidos não podem forjar pedido de alguém.

Csrf drupal protecção hospedagem navegador para

respondeu 15 nov '14 às 23:55

Assista esse video!

Artigos relacionados

Drupal hospedagem com SSLHTTPS é um protocolo que criptografa as solicitações HTTP e suas respostas. Isso garante que se alguém fosse capaz de comprometer a rede entre o computador eo servidor você está solicitando ...
Drupal serviços de hospedagem AegirEscolher Drupal hospedagem pode ser uma tarefa difícil se você não tem certeza do que está disponível para você. Em alguns casos, você pode estar bem com algo como um ambiente de hospedagem compartilhada que Hostgator ou ...
Alterar tabela prefixo drupal hospedagemEu tenho um site Drupal 7 rodando em um servidor web, ele está usando um banco de dados que foi criado com um prefixo. Eu estou tentando restaurar esse banco de dados para uma nova instância do Drupal a partir de um ...
Miglior hospedagem temas do DrupalO que é Drupal? Drupal é uma plataforma de gerenciamento de conteúdo de código aberto que pode ser baixado e usado gratuitamente. Ele consiste em um grupo de arquivos que são padrão em todas as instalações, ...
Combell drupal hospedagem ukDrupal fácil Se você decidiu que este é o sistema de gerenciamento de conteúdo que deseja usar para criar o seu site, por que não também usar seu próprio endereço perfeito web com ele? Obtendo seu site ...