FixVibe
Covered by FixVibehigh

| CSRF ସୁରକ୍ଷା: ଅନଧିକୃତ ରାଜ୍ୟ ପରିବର୍ତ୍ତନ ବିରୁଦ୍ଧରେ ରକ୍ଷା କରିବା |

| ZXCVFIXVIBESEG2 | ୱେବ୍ ଆପ୍ଲିକେସନ୍ ପାଇଁ କ୍ରସ୍-ସାଇଟ୍ ଅନୁରୋଧ ଜାଲିଆତି (CSRF) ଏକ ଗୁରୁତ୍ୱପୂର୍ଣ୍ଣ ବିପଦ ହୋଇ ରହିଥାଏ | Django ପରି ଆଧୁନିକ framework ାଞ୍ଚାଗୁଡ଼ିକ କିପରି ସୁରକ୍ଷା ପ୍ରୟୋଗ କରେ ଏବଂ SameSite ପରି ବ୍ରାଉଜର୍ ସ୍ତରୀୟ ଗୁଣଗୁଡିକ ଅନଧିକୃତ ଅନୁରୋଧଗୁଡିକ ବିରୁଦ୍ଧରେ ପ୍ରତିରକ୍ଷା-ଗଭୀରତା ପ୍ରଦାନ କରେ ଏହି ଅନୁସନ୍ଧାନ ଅନୁସନ୍ଧାନ କରେ |

CWE-352

| ZXCVFIXVIBESEG3 |

ପ୍ରଭାବ

| ZXCVFIXVIBESEG4 | କ୍ରସ୍-ସାଇଟ୍ ଅନୁରୋଧ ଜାଲିଆତି (CSRF) ଜଣେ ଆକ୍ରମଣକାରୀଙ୍କୁ ପୀଡିତାର ବ୍ରାଉଜରକୁ ଏକ ଭିନ୍ନ ୱେବସାଇଟରେ ଅବାଞ୍ଛିତ କାର୍ଯ୍ୟ କରିବା ପାଇଁ ଅନୁମତି ଦେଇଥାଏ ଯେଉଁଠାରେ ପୀଡିତା ବର୍ତ୍ତମାନ ପ୍ରାମାଣିକୃତ ଅଟନ୍ତି | କାରଣ ବ୍ରାଉଜର୍ଗୁଡ଼ିକ ସ୍ୱୟଂଚାଳିତ ଭାବରେ ଅନୁରୋଧରେ କୁକିଜ୍ ପରି ଆଭ୍ୟନ୍ତରୀଣ ପରିଚୟପତ୍ର ଅନ୍ତର୍ଭୂକ୍ତ କରେ, ଜଣେ ଆକ୍ରମଣକାରୀ ରାଜ୍ୟ ପରିବର୍ତ୍ତନକାରୀ ଅପରେସନ୍ ଗଠନ କରିପାରନ୍ତି ଯେପରିକି ପାସୱାର୍ଡ ବଦଳାଇବା, ତଥ୍ୟ ବିଲୋପ କରିବା କିମ୍ବା କାରବାର ଆରମ୍ଭ କରିବା - ବ୍ୟବହାରକାରୀଙ୍କ ଜ୍ଞାନ ବିନା |

| ZXCVFIXVIBESEG5 |

ମୂଳ କାରଣ |

| ZXCVFIXVIBESEG6 | CSRF ର ମ fundamental ଳିକ କାରଣ ହେଉଛି ୱେବ୍ ବ୍ରାଉଜରର ଏକ ଡୋମେନ୍ ସହିତ ଜଡିତ କୁକିଜ ପଠାଇବା ପାଇଁ ଡିଫଲ୍ଟ ଆଚରଣ, ଯେତେବେଳେ ସେହି ଡୋମେନକୁ ଏକ ଅନୁରୋଧ କରାଯାଏ, ଅନୁରୋଧର ଉତ୍ପତ୍ତି [S1] କୁ ଖାତିର ନକରି | ନିର୍ଦ୍ଦିଷ୍ଟ ବ valid ଧତା ବିନା ପ୍ରୟୋଗର ନିଜସ୍ୱ ଉପଭୋକ୍ତା ଇଣ୍ଟରଫେସରୁ ଏକ ଅନୁରୋଧ ଉଦ୍ଦେଶ୍ୟମୂଳକ ଭାବରେ ଟ୍ରିଗର ହୋଇଛି, ସର୍ଭର ଏକ ବ user ଧ ଉପଭୋକ୍ତା କାର୍ଯ୍ୟ ଏବଂ ଜାଲ୍ ମଧ୍ୟରେ ପାର୍ଥକ୍ୟ କରିପାରିବ ନାହିଁ |

| ZXCVFIXVIBESEG7 |

Django CSRF ସୁରକ୍ଷା ଯନ୍ତ୍ରକ .ଶଳ |

| ZXCVFIXVIBESEG8 | ମିଡୱେୟାର ଏବଂ ଟେମ୍ପଲେଟ୍ ଇଣ୍ଟିଗ୍ରେସନ୍ [S2] ମାଧ୍ୟମରେ ଏହି ବିପଦକୁ ହ୍ରାସ କରିବା ପାଇଁ Django ଏକ ବିଲ୍ଟ-ଇନ୍ ପ୍ରତିରକ୍ଷା ବ୍ୟବସ୍ଥା ପ୍ରଦାନ କରିଥାଏ |

| ZXCVFIXVIBESEG9 |

ମିଡିଲୱେର୍ ଆକ୍ଟିଭେସନ୍ |

| ZXCVFIXVIBESEG10 django.middleware.csrf.CsrfViewMiddleware CSRF ସୁରକ୍ଷା ପାଇଁ ଦାୟୀ ଏବଂ ସାଧାରଣତ default ଡିଫଲ୍ଟ [S2] ଦ୍ୱାରା ସକ୍ଷମ ହୋଇଥାଏ | ଯେକ any ଣସି ଦୃଶ୍ୟ ମିଡିଲୱେୟାର ପୂର୍ବରୁ ଏହା ସ୍ଥିତ ହେବା ଉଚିତ ଯାହା CSRF ଆକ୍ରମଣ [S2] କୁ ନିୟନ୍ତ୍ରଣ କରିଥିବାର ଅନୁମାନ କରେ |

| ZXCVFIXVIBESEG11

ଟେମ୍ପଲେଟ୍ ନିୟୋଜନ |

| ZXCVFIXVIBESEG12 ଯେକ any ଣସି ଆଭ୍ୟନ୍ତରୀଣ POST ଫର୍ମ ପାଇଁ, ବିକାଶକାରୀମାନେ {% csrf_token %} ଟ୍ୟାଗ୍ <form> ଉପାଦାନ [S2] ଅନ୍ତର୍ଭୂକ୍ତ କରିବା ଜରୁରୀ | ଏହା ସୁନିଶ୍ଚିତ କରେ ଯେ ଅନୁରୋଧରେ ଏକ ଅନନ୍ୟ, ଗୁପ୍ତ ଟୋକନ୍ ଅନ୍ତର୍ଭୂକ୍ତ ହୋଇଛି, ଯାହା ସର୍ଭର ତା’ପରେ ଉପଭୋକ୍ତା ଅଧିବେଶନ ବିରୁଦ୍ଧରେ ବ valid ଧ କରେ |

| ZXCVFIXVIBESEG13 |

ଟୋକେନ୍ ଲିକେଜ୍ ବିପଦ |

| ZXCVFIXVIBESEG14 ଏକ ଗୁରୁତ୍ implementation ପୂର୍ଣ୍ଣ କାର୍ଯ୍ୟକାରିତା ବିବରଣୀ ହେଉଛି {% csrf_token %} ବାହ୍ୟ URL ଗୁଡିକ [S2] କୁ ଟାର୍ଗେଟ କରୁଥିବା ଫର୍ମରେ କେବେବି ଅନ୍ତର୍ଭୂକ୍ତ କରାଯିବା ଉଚିତ ନୁହେଁ | ଏହା କରିବା ଦ୍ the ାରା ଗୁପ୍ତ CSRF ଟୋକେନ୍ ଏକ ତୃତୀୟ ପକ୍ଷକୁ ଲିକ୍ ହେବ, ବ୍ୟବହାରକାରୀଙ୍କ ଅଧିବେଶନ ସୁରକ୍ଷା [S2] କୁ ସାଂଘାତିକ କରିପାରେ |

| ZXCVFIXVIBESEG15

ବ୍ରାଉଜର୍-ସ୍ତରର ପ୍ରତିରକ୍ଷା: ସମାନ ସାଇଟ୍ କୁକିଜ୍ |

| ZXCVFIXVIBESEG16 | ଆଧୁନିକ ବ୍ରାଉଜର୍ SameSite ଗୁଣକୁ Set-Cookie ହେଡର୍ ପାଇଁ [S1] ର ଏକ ସ୍ତର ପ୍ରଦାନ କରିବାକୁ ଉପସ୍ଥାପନ କରିଛି | | ZXCVFIXVIBESEG17

  • କଠୋର: କୁକି କେବଳ ପ୍ରଥମ-ପକ୍ଷ ପ୍ରସଙ୍ଗରେ ପଠାଯାଏ, ଅର୍ଥାତ୍ URL ବାର୍ ରେ ଥିବା ସାଇଟ୍ କୁକିଜ୍ ଡୋମେନ୍ [S1] ସହିତ ମେଳ ଖାଏ |

| ZXCVFIXVIBESEG18

  • ଲକ୍ଷ୍ମୀ: କୁକି କ୍ରସ୍-ସାଇଟ୍ ସବ୍ରେକେଷ୍ଟରେ ପଠାଯାଇନଥାଏ (ଯେପରିକି ପ୍ରତିଛବି କିମ୍ବା ଫ୍ରେମ୍) କିନ୍ତୁ ଯେତେବେଳେ ଜଣେ ଉପଭୋକ୍ତା ମୂଳ ସାଇଟକୁ ନେଭିଗେଟ୍ କରନ୍ତି, ଯେପରିକି ଏକ ମାନକ ଲିଙ୍କ [S1] ଅନୁସରଣ କରି ପଠାଯାଏ |

| ZXCVFIXVIBESEG19 |

ଏହା ପାଇଁ FixVibe କିପରି ପରୀକ୍ଷା କରେ |

| ZXCVFIXVIBESEG20 FixVibe ବର୍ତ୍ତମାନ ଏକ ଗେଟେଡ୍ ଆକ୍ଟିଭ୍ ଚେକ୍ ଭାବରେ CSRF ସୁରକ୍ଷା ଅନ୍ତର୍ଭୁକ୍ତ କରେ | ଡୋମେନ୍ ଯାଞ୍ଚ ପରେ, active.csrf-protection ଆବିଷ୍କୃତ ରାଜ୍ୟ ପରିବର୍ତ୍ତନକାରୀ ଫର୍ମ ଯାଞ୍ଚ କରେ, CSRF- ଟୋକେନ୍ ଆକୃତିର ଇନପୁଟ୍ ଏବଂ ସମାନ ସାଇଟ୍ କୁକି ସିଗନାଲ୍ ଯାଞ୍ଚ କରେ, ତାପରେ ଏକ ସ୍ୱଳ୍ପ ପ୍ରଭାବ ଜାଲ୍ ଉତ୍ପତ୍ତି ଉପସ୍ଥାପନ କରିବାକୁ ଚେଷ୍ଟା କରେ ଏବଂ ସର୍ଭର ଏହାକୁ ଗ୍ରହଣ କଲାବେଳେ ରିପୋର୍ଟ କରେ | କୁକି ଚେକ୍ ଦୁର୍ବଳ SameSite ଗୁଣଗୁଡ଼ିକୁ ଫ୍ଲାଗ୍ କରେ ଯାହା CSRF ପ୍ରତିରକ୍ଷା-ଗଭୀରତାକୁ ହ୍ରାସ କରେ |