FixVibe
Covered by FixVibehigh

nisqa CSRF Amachay: Mana kamachisqa Estado tikraykunamanta harkakuy

nisqa ZXCVFIXVIBESEG2 nisqa Cross-Site Request Forgery (CSRF) huk hatun manchay web ruwanakunarayku qhipakuchkan. Kay maskayqa maskan imayna kunan pacha marcokuna Django hina harkayta ruwanku chaymanta imayna navegador-nivel atributokuna SameSite hina harkakuy-ukhupi qun mana kamachisqa mañakuykunamanta.

CWE-352

nisqa ZXCVFIXVIBESEG3 nisqa

Impacto

nisqa ZXCVFIXVIBESEG4 nisqa Cross-Site Request Forgery (CSRF) huk atacador huk victimapa maskaqninta engañayta saqin mana munasqa ruwaykunata ruwananpaq huk chikan web kitipi maypi viktima kunan chiqaqchasqa kachkan. Imaraykuchus navegadores kikinmanta ambient credencialkuna cookiekuna hina mañakuykunapi churan, huk atacador estado tikray ruwanakunata falsificayta atin —kayhina contraseñakuna tikray, willayta qulluy utaq ruwanakuna qallariy— mana ruwaqpa yachayninwan.

nisqa ZXCVFIXVIBESEG5 nisqa

Saphi Kausa

nisqa ZXCVFIXVIBESEG6 nisqa CSRF kaqpa fundamental causanqa web maskaqpa ñawpaqmanta ruwayninmi huk dominiowan tinkisqa cookiekuna apachiypaq mayk'aqllapas huk mañakuy chay dominioman ruwasqa, mañakuypa paqariyninmanta mana qhawaspa [S1]. Mana específica validación kaqwan huk mañakuy intencionalmente ruwanamanta kikin interfaz de usuario kaqmanta llamk'achisqa, servidor mana huk legítimo ruwaq ruwaymanta huk falsificado kaqmanta t'aqayta atinchu.

nisqa ZXCVFIXVIBESEG7 nisqa

Django CSRF Amachaypa Mecanismokuna

nisqa ZXCVFIXVIBESEG8 nisqa Django huk sistema de defensa ruwasqa kaqta qun kay riesgokunata mitigananpaq middleware kaqwan chaymanta plantilla tinkiyninwan [S2].

nisqa ZXCVFIXVIBESEG9 nisqa9

Chawpi kaq llamk'achiyta

nisqa ZXCVFIXVIBESEG10 nisqa django.middleware.csrf.CsrfViewMiddleware CSRF hark'aymanta ruwasqa kachkan chaymanta sapa kuti [S2] ñawpaqmanta atichisqa kachkan. Chayqa churasqa kanan tiyan manaraq mayqin qhaway chawpi kaqpas mayqinchus CSRF ataques ruwasqaña kasqankuta hapin [S2].

nisqa ZXCVFIXVIBESEG11 nisqa

Plantilla Implementación

nisqa ZXCVFIXVIBESEG12 nisqa Ima ukhu POST formulariokunapaqpas, ruwaqkuna {% csrf_token %} etiquetata <form> elemento [S2] ukhupi churananku tiyan. Kayqa huk sapalla, pakasqa token mañakuypi churasqa kaqta qhawan, mayqinchus chaymanta sirwiq ruwaqpa tiyayninpa contranpi chiqaqchan.

nisqa ZXCVFIXVIBESEG13 nisqa

Riesgos de Fugas de Fichas

nisqa ZXCVFIXVIBESEG14 nisqa Huk ancha chaniyuq ruway detalleqa {% csrf_token %} mana hayk'aqpas hawa URLkuna [S2] kaqman chayaq formulariokunapi churasqa kananchu tiyan. Chayta ruwaspaqa pakasqa CSRF token huk kimsa kaqman lluqsichinman, atikunman llamk'aqpa sesión waqaychasqa [S2] kaqpi.

nisqa ZXCVFIXVIBESEG15 nisqa

Navegador-Nivel Defensa: SameSite Cookies

nisqa ZXCVFIXVIBESEG16 nisqa Kunan pacha maskaqkuna SameSite atributota riqsichirqanku Set-Cookie umalliqpaq huk qatata hark'ay-ukhu [S1] qunapaq. nisqa ZXCVFIXVIBESEG17 nisqa

  • Strict: Cookie huk ñawpaq-partido contextollapi apachisqa, niyta munan URL barra kaqpi sitio cookiepa dominio [S1] kaqwan tupan.

nisqa ZXCVFIXVIBESEG18 nisqa

  • Lax: Cookie mana apachisqachu chimpa-sitio submañakuykunapi (kayhina siq'ikuna utaq marcokuna) ichaqa apachisqa mayk'aq huk llamk'achiq qallariy kitiman purin, ahinataq huk t'inki estándar [S1] qatispa.

nisqa ZXCVFIXVIBESEG19 nisqa

Imaynatataq FixVibe chaypaq pruebakun

nisqa ZXCVFIXVIBESEG20 nisqa FixVibe kunan CSRF harkayta huk gated activo qhaway hina churan. Domain chiqaqchaymanta, active.csrf-protection tarisqa estado tikray formulariokunata qhawan, CSRF-token-hina yaykuykunata chaymanta SameSite cookie señalkunata qhawan, chaymanta huk pisi impactoyuq falsificado-origen apachiyta munan chaymanta willanlla mayk'aq servidor chaskikun. Cookie qhawaykunapas pisi kallpa SameSite atributokuna banderayuq kanku chaymanta CSRF hark'ay-ukhupi pisiyachinku.