CSRF Schutz Drupal Hosting

Ich habe einige PHP POST-Skripte, die ich brauche von CSRF-Attacken zu schützen und haben mehrere Fragen:

1) Wenn ich POST-Anfragen an PHP mit Jquery ohne ein HTML-Formular einreichen, werden nur Werte immer direkt von den HTML-Elemente und legt sie jquery verwenden, bin ich immer noch in Gefahr CSRF?

2) Wenn sich ein Benutzer anmeldet, um Website, ich speichern ihre einmalige Token in einer Sitzungsvariablen. Im PHP-Skript POST überprüfe ich, ob das Session-Variable gesetzt ist, und hat den gleichen Wert, den ich vor eingestellt. Ist das nicht genug? Warum ist es notwendig, für das Token als auch im HTML-Formular aufgenommen werden?

CSRF Schutz Drupal Hosting, die die übereinstimmt in

fragte 15. November '14 um 23:43 Uhr

  1. Ja. Es spielt keine Rolle, wie Sie die Anfrage konstruieren, kann der Angreifer ein in der gleichen Art und Weise konstruieren. (Theoretisch könnten Sie Merkmale eines komplexen Anforderung machen (die eine CORS Preflight-Anfrage auslösen würde) obligatorisch, so dass eine andere Website nicht den Browser des Benutzers erhalten könnte die ganze Anfrage zu duplizieren, aber ich möchte nicht auf, dass abhängig) .
  2. Nein

Der Punkt des Tokens ist zu prüfen, ob die Seite, die den Code für die Entscheidung verantwortlich enthält, was in der Anfrage geht (das heißt, die Form oder die JavaScript) eine Seite auf Ihrer Website.

Wenn die Form (oder JavaScript) ein Token lesen kann (die die in der Sitzung übereinstimmt) aus dem HTML-Code der Seite und legen Sie sich in der Anfrage, dann wissen Sie den Code, den die Anforderung von Ihrer Website gebaut wurde.

Wenn Sie nur überprüfen, ob es in der Sitzung ist, dann ist alles, was Sie überprüfen, ob der Benutzer ein Token generiert wird verursacht hat (was in der Regel nur jede Seite auf Ihrer Website besuchen ... die in einem versteckten Frame sein könnten).

OK. was ist, wenn der Angreifer eine JS hat, die die tatsächliche HTML FORM von meiner Website in einem versteckten iframe einschließen kann. Ich habe es in einem anderen Beispiel zu sehen ist, wird nicht das Token in Form aufgenommen werden, wenn der Benutzer die Angreifer Website besucht, während angemeldet? In diesem Fall wäre die Anforderung authentisch wie das Token in Form gibt und in der Sitzung oder bin ich etwas fehlt? - Michael Samuel 15. November '14 um 23:58 Uhr

Nein. Wenn Sie einen Rahmen in eine Form gebracht, die Felder auf der Seite durch den Rahmen geladen wird nicht in den Formulardaten enthalten sein. Sie können keine Daten über Domänen hinweg durch einen Rahmen mit JavaScript (es sei denn, die Website kooperierte mit postmessage, die Sie nicht wäre) lesen. - Quentin 16. November '14 bei 00.02

Ja, es ist immer noch unsicher

Ein CSRF-Token sollte eine frisch erzeugte Token, die Sie für jedes Mal ein Formular erzeugen. Es muss eindeutig und unvorhersehbar für jede Anforderung sein. Eine Session-Token von Login gesetzt ist nur einmalig für den gesamten angemeldeten Sitzung.

Und wenn Sie das generierte Token nicht veröffentlichen zu überprüfen, wo überprüfen Sie es? Sie entsprechen die Session-Token mit. Der Grund dafür ist, weil Sie immer noch Menschen die Möglichkeit geben, können eine Anforderung Fälschung zu tun, wenn das Token nicht mit dem Antrag selbst, sondern alle Prüfungen werden durchgeführt von Sitzungs- / Cookies gesendet wird. Wenn Sie nur die Sitzung überprüfen tut es nichts gegen csrf. Es muss in der Anfrage gesendet werden selbst und überprüft, ob sie die Sitzung übereinstimmt. Wenn Sie ein eindeutiges Token für jede Anforderung zu generieren, können die Bösewichte nicht jemandes Wunsch schmieden.

CSRF Schutz Drupal Browser-Hosting

beantwortet 15. November '14 um 23:55 Uhr

Schau dieses Video an!

In Verbindung stehende Artikel

Drupal Hosting mit sslHTTPS ist ein Protokoll, das HTTP verschlüsselt Anfragen und die Antworten. Dadurch wird sichergestellt, dass, wenn jemand in der Lage war, das Netzwerk zwischen Ihrem Computer zu gefährden und dem Server Sie anfordern ...
Aegir Drupal Hosting-ServiceDrupal Hosting Kommissionierung kann eine schwierige Aufgabe sein, wenn Sie nicht sicher sind, was Ihnen zur Verfügung steht. In einigen Fällen kann man mit so etwas wie eine Shared-Hosting-Umgebung, des Hostgator oder in Ordnung sein ...
Ändern Tabellenpräfix Drupal HostingIch habe eine Drupal-7-Website auf einem Webserver ausgeführt wird, ist es zur Zeit eine Datenbank verwendet, die mit aus einem Präfix erstellt wurde. Ich versuche, diese Datenbank zu einer neuen Drupal-Instanz von einem wiederherzustellen ...
Miglior Hosting Drupal ThemenWas ist Drupal? Drupal ist ein Open-Source Content-Management-Plattform, die heruntergeladen werden können und kostenlos zur Verfügung. Es besteht aus einer Kerngruppe von Dateien, die auf allen Anlagen sind Standard, ...
Combell Drupal uk HostingDrupal leicht gemacht Wenn Sie sich entschieden haben, dass dies das Content-Management-System, das Sie verwenden mögen Ihre Website zu erstellen, warum nicht auch mit ihm Ihre eigenen perfekten Web-Adresse verwenden? Wie Sie Ihre Website ...