FixVibe
Covered by FixVibehigh

Cosaint CSRF: Ag Cosaint i gCoinne Athruithe Neamhúdaraithe Stáit

Tá Brionnú Iarratas Trassuíomh (CSRF) fós ina bhagairt shuntasach d’fheidhmchláir ghréasáin. Scrúdaíonn an taighde seo conas a chuireann creataí nua-aimseartha cosúil le Django cosaint i bhfeidhm agus conas a sholáthraíonn tréithe leibhéal brabhsálaí mar SameSite cosaint dhomhain in aghaidh iarratais neamhúdaraithe.

CWE-352

Tionchar

Ceadaíonn Brionnú Iarratas Tras-Suímh (CSRF) d'ionsaitheoir breacadh ar bhrabhsálaí íospartach chun gníomhartha nach dteastaíonn a dhéanamh ar shuíomh Gréasáin eile ina bhfuil an t-íospartach fíordheimhnithe faoi láthair. Toisc go n-áiríonn brabhsálaithe dintiúir chomhthimpeallacha go huathoibríoch mar fhianáin in iarratais, is féidir le hionsaitheoir oibríochtaí a athraíonn an stát a chruthú - mar shampla pasfhocail a athrú, sonraí a scriosadh nó idirbhearta a thionscnamh - gan eolas an úsáideora.

Fréamhchúis

Is é bunchúis CSRF iompar réamhshocraithe an bhrabhsálaí gréasáin maidir le fianáin a bhaineann le fearann a sheoladh aon uair a dhéantar iarratas chuig an bhfearann sin, beag beann ar thionscnamh na hiarrata [S1]. Gan bailíochtú sonrach gur tionscnaíodh iarratas d'aon ghnó ó chomhéadan úsáideora an fheidhmchláir féin, ní féidir leis an bhfreastalaí idirdhealú a dhéanamh idir gníomh dlisteanach úsáideora agus gníomh brionnaithe.

Meicníochtaí Cosanta Django CSRF

Soláthraíonn Django córas cosanta ionsuite chun na rioscaí seo a mhaolú trí mheán-earraí agus comhtháthú teimpléid [S2].

Gníomhachtú Meán-earraí

Tá an django.middleware.csrf.CsrfViewMiddleware freagrach as cosaint CSRF agus de ghnáth cumasaítear é de réir réamhshocraithe [S2]. Ní mór é a shuíomh roimh aon earraí lár amhairc a ghlacann leis go bhfuil ionsaithe CSRF láimhseáilte cheana féin [S2].

Forfheidhmiú Teimpléad

I gcás aon fhoirmeacha inmheánacha POST, ní mór d’fhorbróirí an chlib {% csrf_token %} a chur san áireamh laistigh den eilimint <form> [S2]. Cinntíonn sé seo go bhfuil comhartha rúnda uathúil san áireamh san iarratas, a bhailíochtaíonn an freastalaí ansin i gcoinne seisiún an úsáideora.

Rioscaí Sceitheadh Comhartha

Sonraí cur chun feidhme ríthábhachtach is ea nár cheart an {% csrf_token %} a chur san áireamh riamh sna foirmeacha atá dírithe ar URLanna seachtracha [S2]. Dá ndéanfaí amhlaidh scaoilfí an comhartha CSRF rúnda chuig tríú páirtí, rud a d’fhéadfadh cur isteach ar shlándáil seisiúin an úsáideora [S2].

Cosaint Leibhéal Brabhsálaí: Fianáin SameSite

Thug brabhsálaithe nua-aimseartha isteach an tréith SameSite don cheanntásc Set-Cookie chun sraith dhomhain-chosaint [S1] a sholáthar.

  • Strict: Ní sheoltar an fianán ach i gcomhthéacs céadpháirtí, rud a chiallaíonn go bhfuil an suíomh sa bharra URL ag teacht le fearann an fhianán [S1].
  • Lax: Ní sheoltar an fianán ar fho-iarratais tras-láithreáin (amhail íomhánna nó frámaí) ach seoltar é nuair a dhéanann úsáideoir nascleanúint chuig an suíomh bunaidh, mar shampla trí nasc caighdeánach a leanúint [S1].

Conas a thástálann FixVibe é

Áirítear le FixVibe anois cosaint CSRF mar sheiceáil gníomhach gated. Tar éis fíorú fearainn, déanann active.csrf-protection iniúchadh ar fhoirmeacha a athraíonn an stát a aimsíodh, seiceálann sé ionchuir CSRF-chruthach-chruthach agus comharthaí fianán SameSite, ansin déanann sé iarracht aighneacht bhrionnaithe a bhfuil tionchar íseal aige agus ní thuairiscíonn ach nuair a ghlacann an freastalaí leis. Léiríonn seiceálacha fianán freisin tréithe lag SameSite a laghdaíonn doimhneacht chosanta CSRF.