FixVibe
Covered by FixVibehigh

ការការពារ CSRF៖ ការការពារប្រឆាំងនឹងការផ្លាស់ប្តូររដ្ឋដែលគ្មានការអនុញ្ញាត

ZXCVFIXVIBESEG ២ Cross-Site Request Forgery (CSRF) នៅតែជាការគំរាមកំហែងយ៉ាងសំខាន់ចំពោះកម្មវិធីគេហទំព័រ។ ការស្រាវជ្រាវនេះស្វែងយល់ពីរបៀបដែលក្របខ័ណ្ឌទំនើបដូចជា Django អនុវត្តការការពារ និងរបៀបដែលគុណលក្ខណៈកម្រិតកម្មវិធីរុករកតាមអ៊ីនធឺណិតដូចជា SameSite ផ្តល់នូវការការពារយ៉ាងស៊ីជម្រៅប្រឆាំងនឹងសំណើដែលមិនមានការអនុញ្ញាត។

CWE-352

ផលប៉ះពាល់

ZXCVFIXVIBESEG ៤ Cross-Site Request Forgery (CSRF) អនុញ្ញាតឱ្យអ្នកវាយប្រហារបញ្ឆោតកម្មវិធីរុករកតាមអ៊ីនធឺណិតរបស់ជនរងគ្រោះឱ្យធ្វើសកម្មភាពដែលមិនចង់បាននៅលើគេហទំព័រផ្សេងគ្នាដែលជនរងគ្រោះត្រូវបានផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវនាពេលបច្ចុប្បន្ន។ ដោយសារកម្មវិធីរុករកតាមអ៊ីនធឺណិតរួមបញ្ចូលព័ត៌មានសម្ងាត់ជុំវិញដោយស្វ័យប្រវត្តិ ដូចជាខូគីក្នុងសំណើ អ្នកវាយប្រហារអាចបង្កើតប្រតិបត្តិការផ្លាស់ប្តូរស្ថានភាព ដូចជាការផ្លាស់ប្តូរពាក្យសម្ងាត់ លុបទិន្នន័យ ឬចាប់ផ្តើមប្រតិបត្តិការដោយគ្មានចំណេះដឹងរបស់អ្នកប្រើប្រាស់។

ZXCVFIXVIBESEG ៥

មូលហេតុ

ZXCVFIXVIBESEG ៦ មូលហេតុជាមូលដ្ឋាននៃ CSRF គឺជាឥរិយាបថលំនាំដើមរបស់កម្មវិធីរុករកតាមអ៊ីនធឺណិតក្នុងការផ្ញើខូគីដែលភ្ជាប់ជាមួយដែន នៅពេលណាដែលសំណើត្រូវបានធ្វើឡើងទៅកាន់ដែននោះ ដោយមិនគិតពីប្រភពដើមនៃសំណើ [S1] ។ ប្រសិនបើគ្មានការបញ្ជាក់ជាក់លាក់ដែលសំណើត្រូវបានបង្កឡើងដោយចេតនាពីចំណុចប្រទាក់អ្នកប្រើផ្ទាល់របស់កម្មវិធីនោះ ម៉ាស៊ីនមេមិនអាចបែងចែករវាងសកម្មភាពអ្នកប្រើប្រាស់ស្របច្បាប់ និងក្លែងក្លាយនោះទេ។

ZXCVFIXVIBESEG ៧

យន្តការការពារ Django CSRF

ZXCVFIXVIBESEG ៨ Django ផ្តល់នូវប្រព័ន្ធការពារដែលភ្ជាប់មកជាមួយដើម្បីកាត់បន្ថយហានិភ័យទាំងនេះតាមរយៈការរួមបញ្ចូលផ្នែកកណ្តាល និងគំរូ [S2] ។

ការធ្វើឱ្យសកម្ម Middleware

ZXCVFIXVIBESEG ១០ django.middleware.csrf.CsrfViewMiddleware ទទួលខុសត្រូវចំពោះការការពារ CSRF ហើយជាធម្មតាត្រូវបានបើកតាមលំនាំដើម [S2] ។ វាត្រូវតែកំណត់ទីតាំងមុនពេលមជ្ឈដ្ឋានមើលណាមួយដែលសន្មត់ថាការវាយប្រហារ CSRF ត្រូវបានដោះស្រាយរួចហើយ [S2] ។

ZXCVFIXVIBESEG ១១

ការអនុវត្តគំរូ

ZXCVFIXVIBESEG ១២ សម្រាប់ទម្រង់ប្រកាសផ្ទៃក្នុងណាមួយ អ្នកអភិវឌ្ឍន៍ត្រូវតែបញ្ចូលស្លាក {% csrf_token %} នៅខាងក្នុងធាតុ <form> [S2] ។ នេះធានាថានិមិត្តសញ្ញាសម្ងាត់តែមួយគត់ត្រូវបានរួមបញ្ចូលនៅក្នុងសំណើដែលម៉ាស៊ីនមេធ្វើឱ្យមានសុពលភាពប្រឆាំងនឹងវគ្គរបស់អ្នកប្រើ។

ZXCVFIXVIBESEG ១៣

ហានិភ័យនៃការលេចធ្លាយសញ្ញាសម្ងាត់

ព័ត៌មានលម្អិតនៃការអនុវត្តសំខាន់គឺថា {% csrf_token %} មិនគួរត្រូវបានបញ្ចូលក្នុងទម្រង់ដែលកំណត់ URL ខាងក្រៅ [S2] ឡើយ។ ការធ្វើដូច្នេះនឹងលេចធ្លាយសញ្ញាសម្ងាត់ CSRF ទៅកាន់ភាគីទីបី ដែលអាចប៉ះពាល់ដល់សុវត្ថិភាពវគ្គរបស់អ្នកប្រើ [S2] ។

ZXCVFIXVIBESEG ១៥

ការការពារកម្រិតកម្មវិធីរុករក៖ ខូឃីគេហទំព័រដូចគ្នា។

កម្មវិធីរុករកតាមអ៊ីនធឺណិតទំនើបបានណែនាំគុណលក្ខណៈ SameSite សម្រាប់បឋមកថា Set-Cookie ដើម្បីផ្តល់នូវស្រទាប់ការពារក្នុងជម្រៅ [S1] ។

  • តឹងរ៉ឹង៖ ខូគីត្រូវបានផ្ញើតែក្នុងបរិបទភាគីទីមួយ មានន័យថាគេហទំព័រនៅក្នុងរបារ URL ត្រូវគ្នានឹងដែនរបស់ខូគី [S1] ។

ZXCVFIXVIBESEG ១៨

  • ធូររលុង៖ ខូគីមិនត្រូវបានផ្ញើតាមសំណើរឆ្លងកាត់គេហទំព័រ (ដូចជារូបភាព ឬស៊ុម) ប៉ុន្តែត្រូវបានផ្ញើនៅពេលដែលអ្នកប្រើរុករកទៅកាន់គេហទំព័រដើម ដូចជាតាមរយៈតំណស្តង់ដារ [S1] ។

ZXCVFIXVIBESEG ១៩

របៀបដែល FixVibe ធ្វើតេស្តសម្រាប់វា។

ZXCVFIXVIBESEG ២០ FixVibe ឥឡូវនេះរួមបញ្ចូលការការពារ CSRF ជាការត្រួតពិនិត្យសកម្ម។ បន្ទាប់ពីការផ្ទៀងផ្ទាត់ដែន active.csrf-protection ត្រួតពិនិត្យបានរកឃើញទម្រង់ផ្លាស់ប្តូររដ្ឋ ពិនិត្យមើលធាតុបញ្ចូលរាងអក្សរ CSRF និងសញ្ញាខូគី SameSite បន្ទាប់មកព្យាយាមដាក់បញ្ជូនប្រភពក្លែងក្លាយដែលមានផលប៉ះពាល់ទាប ហើយរាយការណ៍តែនៅពេលដែលម៉ាស៊ីនមេទទួលយកវា។ ការត្រួតពិនិត្យខូគីក៏ដាក់ទង់គុណលក្ខណៈ SameSite ខ្សោយដែលកាត់បន្ថយការការពារ CSRF ក្នុងជម្រៅ។