FixVibe
Covered by FixVibehigh

CSRF ကာကွယ်ရေး- ခွင့်ပြုချက်မရှိသော ပြည်နယ်အပြောင်းအလဲများကို ခုခံကာကွယ်ခြင်း။

ZXCVFIXVIBESEG၂ Cross-Site Request Forgery (CSRF) သည် ဝဘ်အပလီကေးရှင်းများအတွက် သိသာထင်ရှားသော ခြိမ်းခြောက်မှုတစ်ခုအဖြစ် ရှိနေသေးသည်။ ဤသုတေသနပြုချက်သည် Django ကဲ့သို့ ခေတ်မီမူဘောင်များကို မည်ကဲ့သို့ အကာအကွယ် ပေးဆောင်ကြောင်းနှင့် SameSite ကဲ့သို့သော ဘရောက်ဆာအဆင့် ရည်ညွှန်းချက်များသည် ခွင့်ပြုချက်မဲ့ တောင်းဆိုမှုများအပေါ် နက်ရှိုင်းစွာ ကာကွယ်ရေး မည်ကဲ့သို့ ဖြည့်ဆည်းပေးသည်ကို စူးစမ်းလေ့လာပါသည်။

CWE-352

ထိခိုက်မှု

Cross-Site Request Forgery (CSRF) သည် တိုက်ခိုက်သူအား သားကောင်၏ဘရောက်ဆာအား လောလောဆယ် စစ်မှန်ကြောင်းအတည်ပြုထားသည့် အခြားဝဘ်ဆိုဒ်တစ်ခုတွင် မလိုလားအပ်သော လုပ်ဆောင်ချက်များကို လုပ်ဆောင်ရန် လှည့်ဖြားခွင့်ပြုသည်။ ဘရောက်ဆာများသည် တောင်းဆိုမှုများတွင် ကွတ်ကီးများကဲ့သို့ ပတ်ဝန်းကျင်ဆိုင်ရာ အထောက်အထားများ အလိုအလျောက်ပါဝင်နေသောကြောင့်၊ တိုက်ခိုက်သူသည် အသုံးပြုသူ၏အသိပညာမရှိဘဲ စကားဝှက်များပြောင်းလဲခြင်း၊ ဒေတာဖျက်ခြင်း သို့မဟုတ် အရောင်းအ၀ယ်ပြုလုပ်ခြင်းကဲ့သို့သော အခြေအနေပြောင်းလဲခြင်းလုပ်ငန်းများကို အတုခိုးနိုင်ပါသည်။

အကြောင်းအရင်း

CSRF ၏ အခြေခံအကြောင်းရင်းမှာ တောင်းဆိုချက်၏ မူလဇစ်မြစ် [S1] မည်သည်ဖြစ်စေ အဆိုပါဒိုမိန်းသို့ တောင်းဆိုသည့်အခါတိုင်း ဒိုမိန်းတစ်ခုနှင့် ဆက်စပ်နေသော ကွတ်ကီးများ ပေးပို့ခြင်း၏ မူရင်းအပြုအမူဖြစ်သည်။ တောင်းဆိုချက်တစ်ခုသည် အပလီကေးရှင်း၏ကိုယ်ပိုင်အသုံးပြုသူအင်တာဖေ့စ်မှ ရည်ရွယ်ချက်ရှိရှိ အစပျိုးခဲ့ခြင်းဖြစ်သည်ဟု တိကျသောအတည်ပြုချက်မရှိဘဲ၊ ဆာဗာသည် တရားဝင်အသုံးပြုသူလုပ်ဆောင်ချက်နှင့် အတုအယောင်တစ်ခုအကြား ခွဲခြား၍မရပါ။

Django CSRF ကာကွယ်မှု ယန္တရားများ

Django သည် [S2] အလယ်တန်းဆော့ဖ်ဝဲနှင့် ပုံစံပလိတ်ပေါင်းစပ်မှုမှတစ်ဆင့် အဆိုပါအန္တရာယ်များကို လျော့ပါးသက်သာစေရန် တပ်ဆင်ထားသော ကာကွယ်ရေးစနစ်ကို ပံ့ပိုးပေးပါသည်။

Middleware ကို အသက်သွင်းခြင်း။

ZXCVFIXVIBESEG၁၀ django.middleware.csrf.CsrfViewMiddleware သည် CSRF ကာကွယ်ရေးအတွက် တာဝန်ရှိပြီး ပုံမှန်အားဖြင့် ပုံမှန်အားဖြင့် [S2] ကို ဖွင့်ထားသည်။ CSRF တိုက်ခိုက်မှုများကို [S2] ကိုင်တွယ်ပြီးပြီဟု ယူဆသည့် မည်သည့်အမြင် မစ်ဒဲလ်ဝဲလ်မဆိုရှေ့တွင် ၎င်းအား နေရာချထားရပါမည်။

ZXCVFIXVIBESEG ၁၁

Template အကောင်အထည်ဖော်ခြင်း။

မည်သည့်အတွင်းပိုင်း ပို့စ်ပုံစံများအတွက်၊ ဆော့ဖ်ဝဲရေးသားသူများသည် <form> ဒြပ်စင် [S2] အတွင်းတွင် {% csrf_token %} တဂ်ကို ထည့်သွင်းရပါမည်။ ၎င်းသည် တောင်းဆိုချက်တွင် သီးသန့်၊ လျှို့ဝှက်တိုကင်တစ်ခု ပါဝင်ကြောင်း သေချာစေပြီး၊ ထို့နောက် ဆာဗာသည် အသုံးပြုသူ၏ ဆက်ရှင်နှင့် ဆန့်ကျင်၍ တရားဝင်ကြောင်း အတည်ပြုပါသည်။

ZXCVFIXVIBESEG၁၃

တိုကင်ယိုစိမ့်မှုအန္တရာယ်များ

ZXCVFIXVIBESEG ၁၄ အရေးကြီးသော အကောင်အထည်ဖော်မှုအသေးစိတ်အချက်မှာ {% csrf_token %} သည် [S2] အား ပြင်ပ URL များကို ပစ်မှတ်ထားသည့်ပုံစံများတွင် ဘယ်သောအခါမှ မထည့်သင့်ပါ။ ထိုသို့ပြုလုပ်ခြင်းဖြင့် အသုံးပြုသူ၏ စက်ရှင်လုံခြုံရေး [S2] ၏ လျှို့ဝှက် CSRF တိုကင်ကို ပြင်ပအဖွဲ့အစည်းသို့ ပေါက်ကြားစေမည်ဖြစ်သည်။

ဘရောက်ဆာ-အဆင့် ကာကွယ်ရေး- SameSite ကွတ်ကီးများ

ZXCVFIXVIBESEG၁၆ ခေတ်မီဘရောက်ဆာများသည် SameSite ရည်ညွှန်းချက် Set-Cookie ခေါင်းစီးအတွက် Set-Cookie ကာကွယ်ရေးအလွှာတစ်ခုအတွက် နက်ရှိုင်းသော [S1] ကို မိတ်ဆက်ပေးခဲ့သည်။

  • တင်းကျပ်သော- ကွတ်ကီးကို ပထမပါတီအကြောင်းအရာဖြင့်သာ ပေးပို့ထားသောကြောင့် URL ဘားရှိဆိုက်သည် ကွတ်ကီးဒိုမိန်း [S1] နှင့် ကိုက်ညီသည်ဟု ဆိုလိုသည်။
  • Lax- ကွတ်ကီးကို ဆိုဒ်ခွဲတောင်းဆိုမှုများ (ပုံများ သို့မဟုတ် ဖရိမ်များကဲ့သို့) တွင် မပို့သော်လည်း၊ အသုံးပြုသူတစ်ဦးသည် စံလင့်ခ်ကို လိုက်နာခြင်းဖြင့် [S1] ကဲ့သို့သော မူရင်းဆိုက်သို့ လမ်းကြောင်းသွားသည့်အခါ ပေးပို့သည်။

FixVibe စမ်းသပ်နည်း

FixVibe တွင် ယခု CSRF အကာအကွယ် ပါ၀င်သည် ။ ဒိုမိန်းအတည်ပြုပြီးနောက်၊ active.csrf-protection သည် တွေ့ရှိထားသည့် အခြေအနေပြောင်းလဲခြင်းပုံစံများကို စစ်ဆေးပြီး CSRF-တိုကင်ပုံစံထည့်သွင်းမှုများနှင့် SameSite ကွတ်ကီးအချက်ပြမှုများကို စစ်ဆေးပြီး အကျိုးသက်ရောက်မှုနည်းသော မူရင်းတင်ပြမှုကို ဆာဗာက လက်ခံသည့်အခါမှသာ အစီရင်ခံမည်ဖြစ်သည်။ Cookie စစ်ဆေးမှုများသည် CSRF ကာကွယ်ရေးအတွင်း နက်ရှိုင်းမှုကို လျှော့ချပေးသည့် အားနည်း SameSite ရည်ညွှန်းချက်များကိုလည်း အလံပြထားသည်။