FixVibe
Covered by FixVibehigh

ዝብል ቃል ንረክብ ምክልኻል CSRF: ኣንጻር ዘይተፈቕደ ለውጢ መንግስቲ ምክልኻል

ዝብል ቃል ንረክብ ZXCVFIXVIBESEG2 ስግረ-ሳይት ሕቶ ምትላል (CSRF) ንዌብ ኣፕሊኬሽናት ርኡይ ሓደጋ ኮይኑ ይቕጽል ኣሎ። እዚ መጽናዕቲ ከም Django ዝኣመሰሉ ዘመናዊ ማዕቀፋት ከመይ ጌሮም መከላኸሊ ከም ዘተግብሩን ከም SameSite ዝኣመሰሉ ብደረጃ መርበብ ሓበሬታ ዝጥቀሙ ባህርያት ኣንጻር ዘይተፈቕደ ሕቶታት ብኸመይ ብዕምቆት መከላኸሊ ከም ዝህቡን ይድህስስ።

CWE-352

ዝብል ቃል ንረክብ ZXCVFIXVIBESEG3

ጽልዋ

ዝብል ቃል ንረክብ ZXCVFIXVIBESEG4 Cross-Site Request Forgery (CSRF) ሓደ መጥቃዕቲ ዝፍጽም ሰብ ንናይ ግዳይ መርበብ ሓበሬታ ኣታሊሉ ኣብ ዝተፈላለየ መርበብ ሓበሬታ ዘይተደልየ ተግባራት ክፍጽም የኽእሎ፣ ኣብዚ እዋን እዚ እቲ ግዳይ ምርግጋጽ እዩ። ዳህሰስቲ ብኣውቶማቲክ ኣብ ሕቶታት ከም ኩኪስ ዝኣመሰሉ ኣምቢየንት መረጋገጺታት ስለዘጠቓልሉ፡ ሓደ መጥቃዕቲ ዝፍጽም ሰብ ብዘይ ኣፍልጦ ተጠቃሚ ኩነታት ዝቕይሩ ስርሓት-ከም ምቕያር ፓስዎርድ ምቕያር፡ ዳታ ምድምሳስ ወይ ትራንዛክሽን ምጅማር- ክፈጥር ይኽእል።

ዝብል ቃል ንረክብ ZXCVFIXVIBESEG5

ሱር ጠንቂ

ዝብል ቃል ንረክብ ZXCVFIXVIBESEG6 መሰረታዊ ጠንቂ CSRF፡ መበገሲ ናይቲ ሕቶ [S1] ብዘየገድስ፡ ናብቲ ዓውዲ ሕቶ ኣብ ዝቐርበሉ እዋን፡ ምስ ሓደ ዓውዲ ዝተኣሳሰሩ ኩኪስ ናይ ምልኣኽ ነባሪ ባህሪ ናይቲ መርበብ ሓበሬታ እዩ። ሓደ ሕቶ ካብቲ ናይቲ መተግበሪ ናይ ገዛእ ርእሱ ተጠቃሚ መተሓላለፊ ኮነ ኢሉ ከምዝተበገሰ ፍሉይ ምርግጋጽ እንተዘይተገይሩሉ፡ እቲ ኣገልጋሊ ኣብ መንጎ ሕጋዊ ናይ ተጠቃሚ ተግባርን ናይ ሓሶት ተግባርን ክፈሊ ኣይክእልን።

ዝብል ቃል ንረክብ ZXCVFIXVIBESEG7

Django CSRF መከላኸሊ ኣገባባት

ዝብል ቃል ንረክብ ZXCVFIXVIBESEG8 ጃንጎ ነዞም ሓደጋታት ንምቅላል ብሚድልዌርን ቴምፕሌት ውህደትን [S2] ኣቢሉ ኣብ ውሽጡ ዝተሃንጸ ስርዓተ ምክልኻል ይህብ።

ዝብል ቃል ንረክብ ZXCVFIXVIBESEG9

ሚድልዌር ኣክቲቬሽን

ዝብል ቃል ንረክብ ZXCVFIXVIBESEG10 ዝብል ቃል ንምርካብ ኣብዚ ንጠውቅ django.middleware.csrf.CsrfViewMiddleware ናይ CSRF መከላኸሊ ሓላፍነት ዝወስድ ኮይኑ ብተለምዶ ብነባሪ [S2] ዝንቀሳቐስ እዩ። ቅድሚ ዝኾነ CSRF መጥቃዕትታት ድሮ ተታሒዙ እዩ ዝብል ግምት ዘለዎ ናይ ምርኣይ ሚድልዌር [S2] ክቐውም ኣለዎ።

ዝብል ቃል ንረክብ ZXCVFIXVIBESEG11 ዝብል ቃል ንምርካብ ኣብዚ ንጠውቅ

ኣተገባብራ ቅጥዒ

ዝብል ቃል ንረክብ ZXCVFIXVIBESEG12 ንዝኾነ ውሽጣዊ POST ቅጥዕታት፡ ዲቨሎፐራት ኣብ ውሽጢ <form> ባእታ [S2] ነቲ {% csrf_token %} መለለዪ ከካትቱ ኣለዎም። እዚ ድማ ኣብቲ ሕቶ ፍሉይን ምስጢራዊን ምልክት ከም ዝካተት የረጋግጽ፣ ድሕሪኡ እቲ ኣገልጋሊ ኣንጻር ናይቲ ተጠቃሚ ክፍለ ግዜ የረጋግጾ።

ዝብል ቃል ንረክብ ZXCVFIXVIBESEG13 ዝብል ቃል ንረክብ

ሓደጋታት ምፍሳስ ቶከን።

ዝብል ቃል ንረክብ ZXCVFIXVIBESEG14 ዝብል ቃል ንረክብ ሓደ ወሳኒ ዝርዝር ኣተገባብራ፡ {% csrf_token %} ኣብ ቅጥዕታት ንደጋዊ URL [S2] ዝዓለመ ፈጺሙ ክካተት የብሉን። ከምኡ ምግባር ነቲ ምስጢራዊ CSRF ቶከን ናብ ሳልሳይ ወገን ምፈሰሶ፣ እዚ ድማ ንናይ ተጠቃሚ ክፍለ ግዜ ድሕነት [S2] ኣብ ሓደጋ ከእቱ ይኽእል።

ዝብል ቃል ንረክብ ZXCVFIXVIBESEG15 ዝብል ቃል ንምርካብ ኣብዚ ጠውቑ

ብደረጃ መርበብ ሓበሬታ ምክልኻል: SameSite Cookies

ዝብል ቃል ንረክብ ZXCVFIXVIBESEG16 ዘመናውያን ዳህሰስቲ ንSameSite ባህሪ ንSet-Cookie ርእሲ ኣተኣታትዮም ኣለዉ፡ ንብርኪ ምክልኻል-ብዕምቆት [S1] ንምሃብ። ዝብል ቃል ንረክብ ZXCVFIXVIBESEG17

  • ጽኑዕ: እቲ ኩኪ ኣብ ቀዳማይ ወገን ጥራይ እዩ ዝለኣኽ፣ እዚ ማለት እቲ ኣብ URL ባር ዘሎ መርበብ ሓበሬታ ምስቲ ናይቲ ኩኪ ዶመይን [S1] ይሰማማዕ።

ዝብል ቃል ንረክብ ZXCVFIXVIBESEG18

  • Lax: እቲ ኩኪ ኣብ ስግረ-ሳይት ንኡሳን ሕቶታት (ከም ምስሊ ወይ ፍሬም) ኣይለኣኽን እዩ ግን ሓደ ተጠቃሚ ናብቲ መበገሲ መርበብ ሓበሬታ ክኸይድ ከሎ እዩ ዝለኣኽ፣ ከም መደበኛ መላግቦ [S1] ብምኽታል።

ዝብል ቃል ንረክብ ZXCVFIXVIBESEG19

FixVibe ከመይ ጌሩ ይፍትኖ

ዝብል ቃል ንረክብ ZXCVFIXVIBESEG20 ዝብል ቃል ንምርካብ ኣብዚ ንጠውቅ FixVibe ሕጂ ከም ኣፍደገ ዘለዎ ንጡፍ ምፍታሽ CSRF መከላኸሊ የጠቓልል። ድሕሪ ምርግጋጽ ዓውዲ፡ active.csrf-protection ዝተረኽበ ኩነታት ዝቕይሩ ቅጥዕታት ይምርምር፡ CSRF-ቶከን ቅርጺ ዘለዎም እታዎታትን ናይ SameSite ኩኪ ምልክታትን ይምርምር፡ ድሕሪኡ ትሑት ጽልዋ ዘለዎ ናይ ሓሶት መበቆል ምቕራብ ይፍትን፡ እቲ ኣገልጋሊ ምስ ተቐበሎ ጥራይ ድማ ጸብጻብ ይህብ። ናይ ኩኪ ምፍታሽ እውን ንCSRF ምክልኻል-ብዕምቆት ዝቕንሱ ድኹማት ናይ SameSite ባህርያት ምልክት ይገብሩ።