CSRF استضافة حماية دروبال

لدي بعض النصوص PHP ما بعد أنني بحاجة للحماية من الهجمات CSRF ولديك أسئلة متعددة:

1) إذا كنت تقديم طلبات POST إلى PHP باستخدام مسج دون شكل HTML، يكون مجرد الحصول على القيم مباشرة من عناصر HTML وعرضها باستخدام مسج، أنا لا تزال في خطر CSRF؟

2) عند تسجيل دخول المستخدم إلى الموقع، وأنا تخزين رمز فريدة من نوعها في متغير الدورة. في البرنامج النصي PHP وظيفة I معرفة ما اذا كان يتم تعيين هذا المتغير الدورة وله نفس القيمة أنا وضعت من قبل. أليس هذا كافيا؟ لماذا هو بحاجة لرمز ليتم تضمينها في شكل HTML كذلك؟

CSRF استضافة حماية دروبال الذي يطابق واحد في

طلب 15 نوفمبر '14 في 23:43

  1. نعم فعلا. لا يهم كيف بناء على الطلب، يمكن للمهاجم بناء واحد في نفس الطريق. (من الناحية النظرية يمكن أن تقوم ميزات طلب معقدة (والذي من شأنه أن يؤدي طلب CORS الاختبار المبدئي) إلزاميا، بحيث موقع آخر لا يمكن الحصول على متصفح المستخدم لتكرار طلب كله، ولكن لا أريد أن تعتمد على ذلك) .
  2. لا

نقطة من رمز للتحقق من أن الصفحة التي تحتوي على رمز مسؤولة عن تحديد ما يدور في الطلب (أي شكل أو جافا سكريبت) هي صفحة على موقع الويب الخاص بك.

إذا كان النموذج (أو JavaScript) يمكن قراءة رمز (والذي يطابق واحد في الدورة) من HTML من الصفحة ووضعها في الطلب، ثم تعرف على التعليمات البرمجية التي شيدت الطلب جاء من موقع الويب الخاص بك.

إذا كنت مجرد التحقق من أنه في الدورة، ثم كل ما يتم التحقق من أن المستخدم قد تسبب في رمز إلى أن تتولد (والتي عادة ما يعني مجرد زيارة أي صفحة على موقع الويب الخاص بك ... التي يمكن أن تكون في إطار مخفي).

حسنا. ماذا عن إذا كان المهاجم لديه JS التي يمكن أن تشمل الاستمارة HTML الفعلي من موقع الويب الخاص بي في الإطار من مخفي. لقد رأيت ذلك في مثال آخر، لن يتم تضمين الرمز المميز في شكل إذا كان المستخدم بزيارة موقع المهاجم أثناء تسجيل الدخول؟ في هذه الحالة طلب سيكون أصيلة مثل رمز هناك في شكل وفي الدورة أو أنا في عداد المفقودين شيء؟ - مايكل صموئيل 15 نوفمبر '14 في 23:58

رقم إذا وضعت إطارا داخل النموذج، لن يتم تضمين الحقول في الصفحة تحميلها من قبل الإطار في بيانات النموذج. لا يمكنك قراءة البيانات عبر المجالات من خلال الإطار مع جافا سكريبت (إلا إذا كان الموقع تعمل بالاشتراك مع postMessage، الذي من شأنه أن لا يكون). - كوينتين 16 نوفمبر '14 في 00:02

نعم انها لا تزال غير آمنة

وينبغي أن يكون رمز CSRF عربون ولدت حديثا في كل مرة يمكنك إنشاء النموذج. فإنه يجب أن يكون فريدة من نوعها وغير متوقعة لكل طلب. رمز مميز الجلسة مجموعة من تسجيل الدخول هي فريدة من نوعها فقط للدورة دخولك بأكملها.

وإذا لم يكن لإضافة الرمز المميز ولدت للتحقق، أين التحقق من ذلك؟ أن تطابق الرمز المميز جلسة عمل مع. السبب هو أنه يمكنك لا تزال تعطي الناس إمكانية للقيام بالتزوير الطلب، إذا لم يتم إرسال الرمز المميز للطلب نفسه، ولكن تتم كافة الشيكات الدورة / الكوكيز. إذا قمت بالتدقيق فقط الدورة فإنه لا يفعل شيئا ضد CSRF. لا بد من بعث في طلب نفسه وفحص إذا كان يتطابق مع جلسة العمل الخاصة بك. عند إنشاء رمز مميز فريد لكل طلب، يمكن أن الأشرار لا المضي طلب شخص ما.

CSRF حماية دروبال استضافة المتصفح ل

أجاب 15 نوفمبر '14 في 23:55

شاهد هذا الفيديو!

مقالات ذات صلة

استضافة دروبال مع خدمة تصميم المواقعHTTPS هو بروتوكول يقوم بتشفير طلبات HTTP وردودهم. هذا يضمن أنه إذا ما كان هناك شخص قادر على حل وسط الشبكة بين الكمبيوتر وخادم كنت تطلب ...
دروبال خدمات استضافة Aegirيمكن اختيار استضافة دروبال يكون مهمة شاقة إذا لم تكن متأكدا ما هو متاح لك. في بعض الحالات، قد يكون على ما يرام مع شيء من هذا القبيل بيئة استضافة مشتركة محفوطة أو ...
تغيير الجدول استضافة بادئة دروباللدي موقع دروبال 7 يعمل على خادم الويب، وتستخدم حاليا قاعدة بيانات التي تم إنشاؤها مع من البادئة. أنا محاولة لاستعادة قاعدة البيانات إلى مثيل دروبال جديد من ...
Miglior استضافة المواضيع دروبالما هو دروبال؟ دروبال هو منصة إدارة المحتوى مفتوحة المصدر التي يمكن تحميلها واستخدامها مجانا. وهو يتألف من مجموعة أساسية من الملفات التي هي المعيار على جميع المنشآت، ...
Combell دروبال استضافة المملكة المتحدةجعل دروبال السهل إذا كنت قد قررت أن هذا هو نظام إدارة المحتوى الذي تريد استخدامه لإنشاء موقع الويب الخاص بك، لماذا لا أيضا استخدام الخاص عنوان الكمال الويب الخاص بك مع ذلك؟ الحصول على موقع الويب الخاص بك ...