FixVibe
Covered by FixVibehigh

Idaabobo CSRF: Idabobo Lodi si Awọn iyipada Ipinle Laigba aṣẹ

Ibeere Ibeere Agbekọja (CSRF) jẹ irokeke pataki si awọn ohun elo wẹẹbu. Iwadi yii ṣawari bii awọn ilana ode oni bii Django ṣe n ṣe aabo ati bii awọn abuda ipele aṣawakiri bii SameSite ṣe pese aabo-ijinle si awọn ibeere laigba aṣẹ.

CWE-352

Ipa

Ibeere Ibeere Agbekọja (CSRF) ngbanilaaye ikọlu lati tan ẹrọ aṣawakiri olufaragba kan lati ṣe awọn iṣe aifẹ lori oju opo wẹẹbu ọtọtọ nibiti olufaragba naa ti jẹri lọwọlọwọ. Nitoripe awọn aṣawakiri laifọwọyi pẹlu awọn iwe eri ibaramu bii kukisi ninu awọn ibeere, ikọlu le ṣe agbekalẹ awọn iṣẹ iyipada ipinlẹ-gẹgẹbi yiyipada awọn ọrọ igbaniwọle, piparẹ data, tabi awọn iṣowo pilẹṣẹ—laisi imọ olumulo.

Gbongbo Idi

Idi pataki ti CSRF jẹ ihuwasi aiyipada ti aṣawakiri wẹẹbu ti fifiranṣẹ awọn kuki ti o ni nkan ṣe pẹlu agbegbe nigbakugba ti ibeere kan ba wa si agbegbe yẹn, laibikita orisun ti ibeere naa [S1]. Laisi afọwọsi kan pato pe ibeere kan ti mọọmọ ṣe okunfa lati inu wiwo olumulo tirẹ, olupin ko le ṣe iyatọ laarin iṣe olumulo ti o tọ ati eke.

Awọn ilana Idaabobo Django CSRF

Django n pese eto aabo ti a ṣe sinu lati dinku awọn ewu wọnyi nipasẹ agbedemeji agbedemeji ati awoṣe iṣọpọ [S2].

Mu ṣiṣẹ Middleware

django.middleware.csrf.CsrfViewMiddleware jẹ iduro fun aabo CSRF ati pe o ṣiṣẹ ni deede nipasẹ aiyipada [S2]. O gbọdọ wa ni ipo ṣaaju wiwo agbedemeji wiwo eyikeyi ti o ro pe awọn ikọlu CSRF ti ni itọju tẹlẹ [S2].

Awoṣe imuse

Fun eyikeyi awọn fọọmu POST inu, awọn olupilẹṣẹ gbọdọ ni aami {% csrf_token %} inu <form> ano [S2]. Eyi ṣe idaniloju pe alailẹgbẹ, ami aṣiri kan wa ninu ibeere naa, eyiti olupin naa jẹri ni ilodi si igba olumulo.

Àmi Leakage Ewu

Alaye imuse to ṣe pataki ni pe {% csrf_token %} ko yẹ ki o wa ninu awọn fọọmu ti o fojusi awọn URL ita [S2]. Ṣiṣe bẹ yoo jo ami-ami CSRF asiri si ẹnikẹta, ti o le ba aabo igba olumulo naa jẹ [S2].

Aabo Ipele ẹrọ aṣawakiri: Awọn kuki aaye Kanna

Awọn aṣawakiri ode oni ti ṣafihan ẹda SameSite fun akọsori Set-Cookie lati pese ipele ti aabo-ijinle [S1].

  • Ina: * Kukisi naa ni a firanṣẹ nikan ni ipo ẹgbẹ akọkọ, afipamo pe aaye ti o wa ni igi URL baamu aaye kuki naa [S1].
  • Lax: Kuki naa kii ṣe fifiranṣẹ si awọn ibeere abẹlẹ aaye (gẹgẹbi awọn aworan tabi awọn fireemu) ṣugbọn o firanṣẹ nigbati olumulo kan ba lọ kiri si aaye ipilẹṣẹ, gẹgẹbi titẹle ọna asopọ boṣewa [S1].

Bawo ni FixVibe ṣe idanwo fun rẹ

FixVibe ni bayi pẹlu aabo CSRF gẹgẹbi ayẹwo ti nṣiṣe lọwọ gated. Lẹhin ijẹrisi ašẹ, active.csrf-protection ṣe ayẹwo awọn fọọmu iyipada ipinlẹ ti a ṣe awari, ṣayẹwo fun awọn igbewọle ti o ni apẹrẹ CSRF-token ati awọn ami kuki SameSite, lẹhinna gbiyanju ifakalẹ ipilẹṣẹ ipa-kekere ati awọn ijabọ nikan nigbati olupin ba gba. Awọn sọwedowo kuki tun ṣe asia awọn abuda SameSite alailagbara ti o dinku aabo-ijinle CSRF.