[HaBo]

easteregg · 24.06.11, 09:31

heyho

eins vorweg, das projekt an dme ihc grad arbeite, hat sone absicherung eigentlich gar nicht nötig, ich wills nur machen , damit ich mich damit auskenne kann ja nich schaden.

und zwar, um was es bei csrf geht is ja klar, dass nich jemand mich dazu bringt in nem forum - wo ich per cookie eingeloggt bin - nen beitrag zu schreiben, nur weil der mich auf seine javascript gefüllte seite loggt.

okay soweit so gut.

wie mans macht is ja laut anleitungen im netz recht simpel, einfach ne random id mit ins form rein die dann abgefragt wird.

bleibt bei mir die frage stehen... kann ich nich einfach per javascript mir vorher die id holn?!
also klar, damit brauch man nen request mehr, aber wenn ich einfach mir die seite via javascript hol, die id rausparse und das ganze wieder zurück schick hab ich doch gar keinen schmerz?

oder überseh ich hier was?
danke schonmal

xrayn · 24.06.11, 10:10

Der Clou ist, dass du für jede Seite immer eine neue Id erzeugst, die auch nur einen begrenzten Zeitraum gültig ist. Das heißt, dass für jeden Request eine andere Id erzeugt wird und sie somit nicht vorher abgefragt werden kann. Problematisch wird dies jedoch, wenn du eine persistente XSS Lücke auf der Seite hast, dann lässt sich das natürlich leicht umgehen.

Anzeige

- Anzeige -

easteregg · 24.06.11, 10:46

jo das so soweit klar, die id die ich generiere ist ja auch immer anders und wird im backend für die session gespeichert und dann überprüft.

wenn ich jetzt aber zwei requests absetz von meiner seite

* der erste holt die id
* der zweite sendet das form mit entsprechend der id

dann hab ich doch auch genau das geschafft, was ich ohne die id schaffen würde?
überseh ich hier was?

Eydeet · 24.06.11, 11:10

Es gibt an sich zwei Fälle, die es zu unterscheiden gilt.

Fall 1 ist, dass das Javascript nicht von deinem Server kommt. Das könnte passieren, wenn du auf irgendeiner Webseite surfst, und diese versucht, per JavaScript über deine Facebook-Session Aktionen auszuführen. In diesem Fall hilft dir die zufällige ID, denn das Javascript auf der fremden Seite hat keine Chance, diese zu erhalten.

Fall 2 ist der, dass dein Server im Kontext deiner Session das bösartige Javascript ausliefert. Ein Beispiel ist, dass du das Verschicken von Nachrichten oder das Erstellen von Kommentaren erlaubst, und diese nicht korrekt validierst. In diesem Fall kann das Script natürlich die ID aus der Seite auslesen und damit Aktionen tätigen. Das einzige, was die ID jetzt noch (vielleicht) verhindert ist, dass das ganze unbemerkt geschieht. Der Server erstellt schließlich für jeden Seitenaufruf neue IDs, sodass du beim Weitersurfen die falsche ID verwendest. Wenn sich der Autor des Scripts etwas mehr Mühe gibt, kann er natürlich die neue ID überall eintragen, sodass du trotzdem nichts merkst.

Die Konsequenz ist, dass diese ID nur zusätzliche, aber keine totale Sicherheit bietet. Fall 1 ist allerdings der, der für einen Angreifer sehr viel leichter durchzuführen ist, schließlich benötigt er keinen Bug auf deinem Server.
Um diesen Fall zu verhindern könntest du natürlich auch den Referer checken, was normalerweise einfacher umzusetzen ist. Außerdem verhinderst du dann (afaik) nicht das Benutzen des Zurück-Buttons.

xrayn · 24.06.11, 11:13

Eine solche Id (aka Pagetoken) macht jede URL der Seite "einzigartig". Das heißt, wenn du einen Request stellen willst, um die Id, die nötig ist um einen Post abzuschicken, abzufragen, brauchst du die gültige Id zu der Seite, auf der du deinen Post erstellen kannst. Um diese gültige Id zu bekommen, brauchst du die Id, die benötigt wird um auf diese Seite zu kommen usw. Da jede Id nur für eine Abfrage gültig ist, hat der Angreifer keine Chance eine gültige Id zu bekommen.

Anzeige

- Anzeige -

24.06.11, 09:31	#1 (permalink)
easteregg Member of Honour Registriert seit: 14.09.07 Likes: 62	csrf absichern Anzeige heyho eins vorweg, das projekt an dme ihc grad arbeite, hat sone absicherung eigentlich gar nicht nötig, ich wills nur machen , damit ich mich damit auskenne kann ja nich schaden. und zwar, um was es bei csrf geht is ja klar, dass nich jemand mich dazu bringt in nem forum - wo ich per cookie eingeloggt bin - nen beitrag zu schreiben, nur weil der mich auf seine javascript gefüllte seite loggt. okay soweit so gut. wie mans macht is ja laut anleitungen im netz recht simpel, einfach ne random id mit ins form rein die dann abgefragt wird. bleibt bei mir die frage stehen... kann ich nich einfach per javascript mir vorher die id holn?! also klar, damit brauch man nen request mehr, aber wenn ich einfach mir die seite via javascript hol, die id rausparse und das ganze wieder zurück schick hab ich doch gar keinen schmerz? oder überseh ich hier was? danke schonmal __________________ » Flattr mich! - Wenn dir mein Beitrag geholfen hat! « <\| 2 AMD Opterons 2384@ 8x3,2ghz \| Tyan S2915 \| 10GB \| 2x 8800GT \| 8400GS \| Dell 3008WFP + 2x2007FP \|>

24.06.11, 10:46	#3 (permalink)
easteregg Member of Honour Themenstarter Registriert seit: 14.09.07 Likes: 62	jo das so soweit klar, die id die ich generiere ist ja auch immer anders und wird im backend für die session gespeichert und dann überprüft. wenn ich jetzt aber zwei requests absetz von meiner seite * der erste holt die id * der zweite sendet das form mit entsprechend der id dann hab ich doch auch genau das geschafft, was ich ohne die id schaffen würde? überseh ich hier was? __________________ » Flattr mich! - Wenn dir mein Beitrag geholfen hat! « <\| 2 AMD Opterons 2384@ 8x3,2ghz \| Tyan S2915 \| 10GB \| 2x 8800GT \| 8400GS \| Dell 3008WFP + 2x2007FP \|>

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

24.06.11, 10:10	#2 (permalink)
xrayn Member of Honour Registriert seit: 05.03.08 Likes: 246	Der Clou ist, dass du für jede Seite immer eine neue Id erzeugst, die auch nur einen begrenzten Zeitraum gültig ist. Das heißt, dass für jeden Request eine andere Id erzeugt wird und sie somit nicht vorher abgefragt werden kann. Problematisch wird dies jedoch, wenn du eine persistente XSS Lücke auf der Seite hast, dann lässt sich das natürlich leicht umgehen.

24.06.11, 11:10	#4 (permalink)
Eydeet Registriert seit: 14.04.06 Likes: 4	Es gibt an sich zwei Fälle, die es zu unterscheiden gilt. Fall 1 ist, dass das Javascript nicht von deinem Server kommt. Das könnte passieren, wenn du auf irgendeiner Webseite surfst, und diese versucht, per JavaScript über deine Facebook-Session Aktionen auszuführen. In diesem Fall hilft dir die zufällige ID, denn das Javascript auf der fremden Seite hat keine Chance, diese zu erhalten. Fall 2 ist der, dass dein Server im Kontext deiner Session das bösartige Javascript ausliefert. Ein Beispiel ist, dass du das Verschicken von Nachrichten oder das Erstellen von Kommentaren erlaubst, und diese nicht korrekt validierst. In diesem Fall kann das Script natürlich die ID aus der Seite auslesen und damit Aktionen tätigen. Das einzige, was die ID jetzt noch (vielleicht) verhindert ist, dass das ganze unbemerkt geschieht. Der Server erstellt schließlich für jeden Seitenaufruf neue IDs, sodass du beim Weitersurfen die falsche ID verwendest. Wenn sich der Autor des Scripts etwas mehr Mühe gibt, kann er natürlich die neue ID überall eintragen, sodass du trotzdem nichts merkst. Die Konsequenz ist, dass diese ID nur zusätzliche, aber keine totale Sicherheit bietet. Fall 1 ist allerdings der, der für einen Angreifer sehr viel leichter durchzuführen ist, schließlich benötigt er keinen Bug auf deinem Server. Um diesen Fall zu verhindern könntest du natürlich auch den Referer checken, was normalerweise einfacher umzusetzen ist. Außerdem verhinderst du dann (afaik) nicht das Benutzen des Zurück-Buttons.

24.06.11, 11:13	#5 (permalink)
xrayn Member of Honour Registriert seit: 05.03.08 Likes: 246	Eine solche Id (aka Pagetoken) macht jede URL der Seite "einzigartig". Das heißt, wenn du einen Request stellen willst, um die Id, die nötig ist um einen Post abzuschicken, abzufragen, brauchst du die gültige Id zu der Seite, auf der du deinen Post erstellen kannst. Um diese gültige Id zu bekommen, brauchst du die Id, die benötigt wird um auf diese Seite zu kommen usw. Da jede Id nur für eine Abfrage gültig ist, hat der Angreifer keine Chance eine gültige Id zu bekommen.

[HaBo]

csrf absichern