Bir tehlike olarak Çerezler: Cross-Site İstek Sahte

Tobias Schüring Son güncelleme 21 Ocak 2020
7 Dk.
Alan Arası İstek Sahteciliği (CSRF) WordPress şimdiye kadar ki en eski saldırılar arasındadır.

CSRF, bu kısaltma güvenlik ve bakım güncellemeleri tekrar tekrar görünür WordPress -Çekirdek. Arkasındaki yöntem şimdi eski bir şapka ve bir internet kullanıcının bol çerezleri yararlanır. Neyse ki, ancak, oldukça çapraz site İstek Sahtekendinizi korumak kolaydır. İhtiyacın olan tek şey biraz zaman ve dikkat.

Siteden ayrıldıktan sonra bile oturum açma seçeneğinin olduğu bir dizi hizmeti kesinlikle kullanacaksınız. Siteyi tekrar ziyaret ederseniz, giriş bilgilerinizi yeniden girmeniz gerekmez, ancak doğrudan oturum açarsınız. Kullanıcı için, tabii ki, bu harika, çünkü - sadece bir şifre yönetimi veya sözde gibi. Tek İşaret Açma - rahatsız edici form doldurma kaydeder.

Arka planda, aşağıdaki ler olur: Sayfada ilk kez oturum açtığınızda, web sitesi tarayıcınızda bir çerez depolar. Belirli bilgileri depolayabilen küçük bir metin dosyasıdır. Oturum açma durumunda, bu rasgele oluşturulan bir karakter dizesidir.

Web sitesini bir sonraki ziyaretinizde, sunucu bu karakter dizesini denetler ve uygun muadili bulabilirse otomatik olarak oturum açar. Bu arada, bu da her yerde oturum açma nedeni dir Tarayıcı önbelleği leerst. Bu işlem aynı zamanda tüm çerezleri siler.

Bir CSRF saldırısı özünde güvensizlik içinde

Zaten fark esiniz: İlgili bir saldırıda, saldırgan çerezleri bir şey okuyan hizmeti kandırar. Bunun nasıl olduğunu aşağıdaki iki örnekte tam olarak açıklayacağım.

Bu manipülasyonun tehlikesi, üçüncü bir tarafın, yani saldırganın Facebook profilinizde, örneğin sizin adınıza değişiklikler yapıyor olmasıdır. Site Ler Arası İstek Sahteciliği de genellikle kimlik avına bağlıdır. Burada da güven önemli hale gelir ve bu da e-posta gönderenlere olan güveninizdir.

Çapraz Site İstek Sahteciliği (CSRF) saldırıları WordPress sağduyu ile önlenebilir.

Ne kadar savunmasız WordPress ?

Muhtemelen sizin kadar sık sık Çapraz Site İstek Sahteciliği terimini duymamışsınızdır. Brute Force Saldırı Veya Site Arası Komut Dosyası. Bunun bir nedeni vardır: Kar amacı gütmeyen kuruluş OWASP (Açık Web Uygulama Güvenliği Projesi) düzenli olarak web uygulamalarındaki en kritik on güvenlik açığının listesini yayınlar. Üzerinde 2017 için ön liste csRF 10 2007 ve 2010 arasında 8 sırada yer aldı saldırı hala 5 yerde indi 2013 yılında 8. Tamam, tamam.

Bu muhtemelen kısmen CSRF saldırıları neredeyse Internet kendisi kadar eski olması nedeniyle. Profesyonel geliştiriciler artık buna karşı kodlarını güvence altına almak için eğitildiler. Bu nedenle güvenlik riskleri kolayca ve hızlı bir şekilde ele alınır.

At WordPress Sen de tetiktesin. Örneğin, 4.7.5 güvenlik güncelleştirmesi Mayıs ayında yayımlandı ve bu da bilgisayar korsanlarının siteleri arası komut dosyası veya site ler arası İstek Sahteciliği yoluyla saldırmasına neden olabilecek altı güvenlik açığını temizledi. Sık sık ama o zaman Site Arası Komut Dosyası çok daha tehlikeli olduğu kabul edilir.

Buna ek olarak, çapraz site İstek Sahteciliği sorusu daha fazla olma eğilimindedir Plugin - ve uygulama geliştiricileri daha fazla web tasarımcıları, ajansları ve Kobİ'ler için daha alakalı. Çünkü CSRF'ye karşı koruma aynı zamanda bir programlama sorunudur. İlgili, CSRF, örneğin, olabilir Plugin Satınalmalar.

Ama şimdi her şey nasıl işliyor?

Çapraz Site İsteği Sahteciliği Anatomisi

Bir CSRF saldırısının arkasındaki temel fikir nispeten basittir ve genellikle iki adımda gerçekleşir:

  1. Bilgisayar korsanı, örneğin bir mütevelli gibi davranarak veya insan merakını istismar ederek kurbanın bir sayfa yüklemesine veya bir bağlantıyı tıklatmasını sağlar. Başka bir deyişle, kimlik avı bu tür saldırılarda önemli bir rol oynar.
  2. Değiştirilen bağlantıları veya sayfaları yüklerken veya tıklatırken, kurbanın tarayıcısı kurbanın fark etmeden bir HTTP isteği yürütür.

İki nispeten basit örnek, böyle bir saldırının nasıl işlediğini göstermektedir.

Justus'un Bob'un sayfayı geçmesini istediğini varsayalım. www.bank.de € 100, ve Skinny bir CSRF saldırı yürütmek için cazibesine oturur. Skinny şimdi, örneğin, onun saldırı sorumlu olabilir. GET veya POST yöntemini kullanın.

Bu arada, aşağıdaki örnekler aşağıdaki kaynaklardan gelir:

GET Yönteminde Site Arası İstek Sahteciliği

GET yöntemi, HTML dosyası gibi bir sunucudan kaynak ister. Arama için gerekli parametreler URL'ye eklenir. Ve daha önce de gördüğümüz gibi SQL Enjeksiyonları Bilin: BIR URL'yi işlemek nispeten kolaydır.

Justus oturum açar www.bank.de ve gerekli tüm verileri girer. Aşağıdaki (tamamen hayali) giriş sunucuya iletilir:

GET http://bank.de/transfer.do?acct=BOB&betrag=100 HTTP/1.1

Skinny şimdi kendi hesabına 100.000 € transferleri bir URL kurar. Şuna benziyor:

http://bank.de/transfer.do?acct=SKINNY&betrag=100000

Tabii ki, Justus da sahte bağlantı arkasında gizli eylem gerçekleştirmek gerekir. Bu yüzden Skinny Justus sahte bir bağlantı içeren bir e-posta gönderir. Örneğin, HTML kodu aşağıdaki gibi görünebilir:

"Eğer bu bulmacayı çözemezsen, gerçek bir dedektif değilsin!

Ya da ona "görünmez" (çünkü 0 piksel) görüntü içeren bir e-posta gönderir. Görüntüyü yüklemeye çalışırken, tarayıcı URL'ye Justus'u fark etmeden erişirken:

Justus bağlantıyı çağırdığında- bilinçli ya da bilinçsiz olarak, parametreler sunucuya iletilir, aktarım tetiklenir ve hesabından 100.000 € kaybolur.

Tabii ki, Justus oturum açtığınızda linke tıklamanız gerekir. Ancak, ne yazık ki tarayıcısında onun bankadan bir giriş çerez varsa sayfayı açmamış olsa bile saldırı çalışır.

Bu tam olarak ne Cross-Site Request Forgery çok sinsi yapar: kurban bile çerez var farkında olmayabilir.

POST Yönteminde Site Arası İstek Sahteciliği

GET yöntemi bağlantılarda kullanılabilir ve bu nedenle özellikle yayılması kolaydır. Bu, tabii ki, dağıtım söz konusu olduğunda saldırganın eline oynar. Ancak artık sağlayıcılar, GET isteklerinin prensipte yazma izni almamasını sağlayabilir.

Post yöntemi hala vardır: Veriler bir sunucuya aktarılır, böylece daha fazla işleyebilir. Ancak, veriler URL'nin bir parçası değildir, ancak üstbilgi eklenir.

Biraz hantal geliyor, ama kesinlikle kullanım örneği biliyorum. Çünkü formlar bu şekilde çalışır.

Saldırganımız Skinny için bu daha fazla çaba sarf etmesi gerektiği anlamına geliyor, ama yine de oraya ulaşabiliyor.

Aynı senaryo: Justus Bob'a para aktarmak istiyor. Bu yüzden doluyor Www.bank.de aşağıdaki form:

<Form Yöntem="POST" Eylem="geld_ueberweisen.php">

    <Giriş Türü="metin" Adı="dan">

    <Giriş Türü="metin" Adı="üzerinde">

    <Giriş Türü="metin" Adı="betrag_in_euro">

    <Giriş Türü="gönder">

Form>

Bu komut geld_ueberweisen.php gönderir, aşağıdaki gibi görünüyor:

Eğer(Isset("_FORM["dan"]) && Isset("_FORM["üzerinde"]) &&Isset("_FORM["menge_in_euro"]) && Isset("_CMOKIE["user_eingeloggt"]))

{

    transMoney("dan", "üzerinde", "tutar");

    Yankı "Transfer başarılı!";

}

Gördüğünüz gibi, kod Justus'un oturum açmamasını görmek için çerezi denetler. Yalnızca bu ysa, aktarım yürütülür.

Skinny artık görünmez bir formu tehlikeye atılmış bir web sayfasında saklar, örneğin.

<Form Yöntem="POST" Eylem="http://www.bank.de/geld_ueberweisen.php">

    <Giriş Türü="metin" Adı="dan" Değer="Justus" Stil="ekran: gizli">

    <Giriş Türü="metin" Adı="üzerinde" Değer="Sıska" Stil="ekran: gizli">

    <Giriş Türü="metin" Adı="betrag_in_euro" Değer="100000" Stil="ekran: gizli">

    <Giriş Türü="gönder" Değer="Bu bulmacayı çözemezsen, gerçek bir dedektif değilsin!">

Form>

Manipüle edilen bu web sitesinin linkini Justus'a gönderiyor. O meydan hissediyor, bulmaca görmek için düğmeye tıklar; ve zaten bilmeden geld_ueberweisen.php işlevini yürütür. Bu, tarayıcısında karşılık gelen bir çerez bulduğundan, 100.000 € tekrar Skinny transfer edilecektir.

Detours üzerinden saldırı

Bu yüzden isim. Çapraz-Site İstek Sahteciliği: Bilgisayar korsanı genellikle komutu başka bir sayfadan gönderir. Sayfa A saldırmak için, böylece sayfa B kötü amaçlı kod yatırır. Sonra masum kullanıcıyı buraya çekti, böylece tarayıcısı kodu çalıştırıyor.

Çapraz Site İsteği Sahteciliği (CSRF) saldırıları ne kadar tehlikeli WordPress ?

CSRF saldırıları nasıl mücadele

İyi haber: Cross-Site İstek Sahtecilik yaş için bilinmektedir. Geliştiriciler riski biliyorum ve özellikle ondan kurtulmak için çalışıyoruz.

Kötü haber: Gerçekten teknik açıdan karşı kendinizi koruyamaz. Bu, WordPress -Çekirdek şimdi nispeten iyi korunmaktadır ve devam eden güncellemeler gördüğünüz gibi, biz sürekli üzerinde çalışıyoruz. Diğer saldırı türlerinde olduğu gibi, çoğu güvenlik açığı Plugins Bu nedenle. Bu nedenle, kullandığınız uzantıların geliştiricilerinin iyi bir iş yaptığına güvenmelisin.

Somut açıdan, bu demektir ki:

  • Yükleyici' çok fazla değil Plugins ve sadece Plugins , gerçekten ihtiyacınız olan
  • Dikkat edin Plugins , bir süredir geliştiriciler tarafından güncelleştirilemedi. Bu, çözülmemiş güvenlik açıklarını gizleyebilir.
  • Hakkında önceden kendinizi bilgilendirmek Plugins yüklediğiniz, örneğin diğer Plugins veya WordPress kullandığınız sürüm (böylece Plugin ayrıca güncellemeler).
  • Güncelleme Plugins ve WP-Core düzenli olarak. Çünkü sürekli güncelleştirmeler bu tür güvenlik açıklarını kapatmak için vardır.
  • kimlik avı konusunda eleştirel
  • Emin değilseniz: Şuna bak. Plugin WP deposunda. Nasıl değerlendirmeleri başarısız, ne geçmişte en büyük sorunları vardı ve var Plugin önemli bir güvenlik açığı kapatılamaz?

Karar: CSRF eski bir şapka

Cross-Site İstek Sahteciliği dijital çağın başlangıcından beri var. Buna ek olarak, vaka numaraları örneğin karşılaştırılır. Brute Force Saldırı son derece küçük.

Bu da onaylar OWASP'nin değerlendirmesi: Bu saldırı oldukça düşük yayılmış, tespit etmek kolay ve sadece çok özel durumlarda ciddi olduğu varsayılır Öyle mi?

Yine de, saldırıların nasıl çalıştığını bilmek iyidir. Çünkü çoğu zaman saldırılar sadece insan hataları sayesinde işe yarar. Tekrar tekrar, kullanıcılar meraktan postaları açar veya açılmasalar daha iyi olacakları linklere tıklarlar.

Bir kullanıcı veya kullanıcı olarak olsun, çapraz site İstek Sahteciliği'nden korunmanın en iyi yolu bunu araştırma ve sağduyuyla yapmaktır.

Bir sistem yöneticisi olarak, Tobias altyapımızı izler ve sunucularımızın performansını optimize etmek için her türlü ayarlama vidasını bulur. Yorulmak bilmeyen çabaları nedeniyle, o sık sık da Slack bulunabilir.

Benzer makaleler

Bu makaledeki yorumlar

Yorum yaz

E-posta adresiniz yayınlanmayacaktır. Gerekli alanlar * Işaretlenmiş.