FixVibe
Covered by FixVibehigh

Parastina CSRF: Parastina Li hember Guherînên Dewletan ên Bêdestûr

Daxwaza Daxwaza Xaçerê (CSRF) ji bo serîlêdanên malperê xeterek girîng dimîne. Vê lêkolînê vedikole ka çarçoveyên nûjen ên mîna Django çawa parastinê bicîh dikin û taybetmendiyên asta gerokê yên mîna SameSite çawa li hember daxwazên nedestûrkirî parastinê-kûr peyda dikin.

CWE-352

Bandor

Daxwaza Daxwaza Xaçerê (CSRF) destûrê dide êrîşkerek ku geroka qurbaniyek bixapîne da ku li ser malperek cihêreng ku mexdûr niha tê pejirandin, kiryarên nedilxwaz pêk bîne. Ji ber ku gerok bixweber pêbaweriyên hawîrdorê yên mîna çerezan di daxwaziyan de vedihewîne, êrîşkar dikare bêyî agahiya bikarhêner operasyonên guheztina dewletê-wekî guheztina şîfreyan, jêbirina daneyan, an destpêkirina danûstendinan- çêbike.

Sedema bingehîn

Sedema bingehîn a CSRF tevgera xwerû ya geroka webê ye ku dema ku daxwazek ji wê domainê re tête şandin, bêyî ku ji eslê daxwazê [S1] be, çerezên ku bi domainek ve girêdayî ne dişîne. Bêyî pejirandina taybetî ya ku daxwazek bi mebest ji navgîniya bikarhênerê ya serîlêdanê hatî destpêkirin, server nikare di navbera çalakiyek bikarhênerek rewa û ya sexte de cihê bike.

Mekanîzmayên Parastina Django CSRF

Django pergalek parastinê ya çêkirî peyda dike da ku van xetereyan bi navgîniya navgîn û yekbûna şablonê [S2] kêm bike.

Çalakkirina Navîn

django.middleware.csrf.CsrfViewMiddleware ji parastina CSRF berpirsiyar e û bi gelemperî ji hêla [S2] ve hatî çalak kirin. Pêdivî ye ku ew berî her nêrînek navgîniya ku texmîn dike ku êrişên CSRF berê hatine desteser kirin [S2] were cîh kirin.

Pêkanîna Şablon

Ji bo her formên POST-ê yên navxweyî, pêşdebiran divê etîketa {% csrf_token %} di hundurê hêmana <form> [S2] de bihewînin. Ev piştrast dike ku nîşanek yekta, nehênî di daxwaznameyê de tê de heye, ku server wê hingê li hember rûniştina bikarhêner piştrast dike.

Rîskên Leakage Token

Agahiyek girîng a pêkanînê ev e ku divê {% csrf_token %} çu carî nekeve nav formên ku URLên derveyî [S2] dikin hedef. Bi kirina vê yekê nîşana nepenî ya CSRF ji aliyek sêyemîn re vedike, ku dibe ku ewlehiya danişîna bikarhêner [S2] têk bibe.

Parastina Asta Gerokê: Cookies SameSite

Gerokên nûjen taybetmendiya SameSite ji bo sernavê Set-Cookie destnîşan kirine da ku qatek parastinê-kûrahiya [S1] peyda bikin.

  • Tirk: Cookie tenê di çarçoveyek yekem-partî de tê şandin, yanî malper di barika URL-ê de bi domaina cookie [S1] re li hev dike.
  • Lax: Cookie li ser daxwaznameyên xaça-malperê nayê şandin (wek wêne an çarçove) lê dema ku bikarhênerek ber bi malpera bingehîn ve diçe, wek mînak bi şopandina girêdanek standard [S1] tê şandin.

FixVibe çawa ji bo wê diceribîne

FixVibe naha parastina CSRF wekî kontrolek çalak a dergeh vedihewîne. Piştî verastkirina domainê, active.csrf-protection formên guhêrbar ên dewletê yên keşifkirî teftîş dike, têketinên CSRF-token-ê û sînyalên cookie yên SameSite kontrol dike, dûv re hewil dide radestkirinek bi eslê sexte ya kêm-bandor bike û tenê dema ku server wê qebûl dike rapor dike. Kontrolên cookie di heman demê de taybetmendiyên qels ên SameSite-ê yên ku berevaniya CSRF-a-kûr kêm dikin jî nîşan dide.