FixVibe
Covered by FixVibehigh

Eegumsa CSRF: Jijjiirama Mootummaa Hayyama Hin Qabne Irraa Ittisuu

jedhamuun beekama ZXCVFIXVIBESEG2 Soba Gaaffii Qaxxaamuraa Saayitii (CSRF) ammallee balaa guddaa application web irratti ta'ee jira. Qorannoon kun akkaataa unkaalee ammayyaa kan akka Django eegumsa hojiirra oolchanii fi akkaataa amaloonni sadarkaa biraawzari akka SameSite gaaffii hin hayyamamne irraa ittisa-gadi fageenyaan kennan qorata.

CWE-352

jedhamuun beekama ZXCVFIXVIBESEG3

Dhiibbaa

jedhamuun beekama ZXCVFIXVIBESEG4 Cross-Site Request Forgery (CSRF) haleellaan tokko browser miidhamaa gowwoomsee marsariitii adda ta'e bakka miidhamtichi yeroo ammaa mirkanaa'etti gocha hin barbaachifne akka raawwatu isa dandeessisa. Browseroonni ofumaan mirkaneessitoota naannoo kan akka kukii gaaffii keessatti waan hammataniif, haleellaan tokko hojiiwwan haala jijjiiruu-kan akka jechoota icciitii jijjiiruu, deetaa haquu, ykn daldala jalqabuu-fayyadamaa osoo hin beekin sobaa gochuu danda'a.

jedhamuun beekama ZXCVFIXVIBESEG5

Hundee Sababaa

jedhamuun beekama ZXCVFIXVIBESEG6 Sababni bu'uuraa CSRF amala durtii weeb biraawzari yeroo gaaffiin gara domeenii sanaatti dhiyaatu hundatti kukiiwwan domeenii wajjin walqabatan erguudha, ka'umsi gaaffii [S1] osoo hin ilaalin. Gaaffiin tokko itti yaadamee walqunnamtii fayyadamaa ofii isaatii aplikeeshinii irraa akka kaka'e mirkaneessuu addaa malee, sarvarichi gocha fayyadamaa seera qabeessaa fi kan sobaa adda baasuu hin danda'u.

jedhamuun beekama ZXCVFIXVIBESEG7

Mala Eegumsa Django CSRF

jedhamuun beekama ZXCVFIXVIBESEG8 Django balaawwan kana salphisuuf sirna ittisaa of keessaa qabu karaa middleware fi template integration [S2] ni kenna.

jedhamuun beekama ZXCVFIXVIBESEG9

Middleware Hojiirra Oolchuu

jedhamuun beekama ZXCVFIXVIBESEG10 irratti kan argamu django.middleware.csrf.CsrfViewMiddleware itti gaafatamummaa eegumsa CSRF kan qabuu fi akkaataa durtii [S2] tiin dandeessifama. Giddugaleessa ilaalchaa kamiyyuu kan haleellaan CSRF duraan qabame jedhee fudhatu dura bakka qabaachuu qaba [S2].

jedhamuun beekama ZXCVFIXVIBESEG11

Hojiirra Oolmaa Unkaa

jedhamuun beekama ZXCVFIXVIBESEG12 irratti kan argamu Unkaalee POST keessoo kamiifuu, hojjettoonni mallattoo {% csrf_token %} elementii <form> keessaa [S2] hammachuu qabu. Kunis mallattoon addaa, dhoksaa gaaffii keessatti akka hammatamu mirkaneessa, kana booda sarvarichi turtii fayyadamaa irratti mirkaneessa.

jedhamuun beekama ZXCVFIXVIBESEG13

Balaa Dhangala'aa Token

jedhamuun beekama ZXCVFIXVIBESEG14 Bal'inni hojiirra oolmaa murteessaan {% csrf_token %} unkaalee URL alaa [S2] irratti xiyyeeffatan keessatti gonkumaa hammatamuu hin qabu. Kana gochuun mallattoo CSRF dhoksaa qaama sadaffaatti dhangalaasa, nageenya turtii fayyadamaa [S2] balaadhaaf saaxiluu danda'a.

jedhamuun beekama ZXCVFIXVIBESEG15 irratti kan argamu

Ittisa Sadarkaa Browser: Kukiiwwan SameSite

jedhamuun beekama ZXCVFIXVIBESEG16 Birawzaroonni ammayyaa amaloota SameSite mataduree Set-Cookie tiif laayibarii ittisa-gadi fageenyaa [S1] kennuudhaaf dhiyaataniiru. jedhamuun beekama ZXCVFIXVIBESEG17

  • Strict: Kukiin haala qaama jalqabaa qofa keessatti ergama, jechuunis marsariitiin barruu URL keessa jiru domeenii kukii [S1] wajjin walsima jechuudha.

jedhamuun beekama ZXCVFIXVIBESEG18

  • Lax: Kukiin gaaffii xiqqaa qaxxaamuraa marsariitii irratti hin ergamu (kan akka fakkii ykn furmaata) garuu yeroo fayyadamaan gara marsariitii ka'umsaatti qajeelu, kan akka hidhaa istaandaardii [S1] hordofuudhaan ergama.

jedhamuun beekama ZXCVFIXVIBESEG19

Akkamitti FixVibe itti qorata

jedhamuun beekama ZXCVFIXVIBESEG20 irratti kan argamu FixVibe amma eegumsa CSRF akka sakatta'iinsa sochii gated ta'etti of keessatti qabata. Erga domeenii mirkaneessuu booda, active.csrf-protection unkaalee haala jijjiiran argaman sakatta'a, galteewwan boca mallattoo CSRF fi mallattoolee kukii SameSite sakatta'a, sana booda dhiyeessii ka'umsa sobaa dhiibbaa xiqqaa qabu yaala fi yeroo sarvariin fudhatu qofa gabaasa. Sakatta'iinsi kukii akkasumas amaloota SameSite dadhaboo kanneen ittisa CSRF-gadi fageenyaan hir'isan alaabaa agarsiisa.