Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Cross-Site Request Forgery Prezentace k přednášce o CSRF útocích Připraveno pro SOOM session #4 2007.

ZveřejnilMax Novák

Podobné prezentace

Prezentace na téma: "Cross-Site Request Forgery Prezentace k přednášce o CSRF útocích Připraveno pro SOOM session #4 2007."— Transkript prezentace:

1 Cross-Site Request Forgery Prezentace k přednášce o CSRF útocích Připraveno pro SOOM session #4 2007

2 Cross-Site Request Forgery ➲ Jiné označení této zranitelnosti Cross-Site Request Forgery CSRF Cross-Site Reference Forgery XSRF

3 Cross-Site Request Forgery ➲ Historie CSRF (první zmínky)‏ 1988 Norm Hardy – označení Confused deputy 2OOO Bugtrag – zranitelnost na ZOPE 2001 Bugtrag – poprvé použito označení CSRF u příspěvku “The Dangerous of Allowing Users to Post Images”

4 Cross-Site Request Forgery ➲ Cílem CSRF útoků jsou koncoví uživatelé ➲ Díky právům obětí je možné útočit na webové služby a aplikace ➲ Podle zranitelnosti webové aplikace může, ale také nemusí, být vyžadována spoluúčast oběti ➲ Podobnost s XSS

5 Cross-Site Request Forgery ➲ Jak servery kontrolují identitu uživatelů Sessions Cookies Předávané parametry Součást URL

6 Cross-Site Request Forgery ➲ Popis zranitelnosti Kam útočník nemůže Nasměrování oběti Využití oběti a provedení akce

7 Cross-Site Request Forgery ➲ Použité metody GET POST

8 Cross-Site Request Forgery ➲ Utoky metodou GET Cíle útoků Hlasování v anketách (http://www.anketa.cz/hlasuj.php?volba=2)‏ Volba funkčnosti (http://www.aplikace.cz/index.php?akce=logout)‏

9 Cross-Site Request Forgery ➲ Utoky metodou GET Popis útoku Vložení vhodného odkazu (http://www.anketa.cz/hlasuj.php?volba=2)‏ Maskování přesměrováním (http://www.mojestranky.cz)‏ Využití odkazů na externí zdroje IMG, IFRAME...

10 Cross-Site Request Forgery ➲ Utoky metodou POST Cíle útoků Vkládání příspěvků do diskuzí Změny v nastavení uživatelských učtů Změna přístupového hesla Změna e-mailové adresy Přidání adresy pro přesěrování příchozí pošty

11 Cross-Site Request Forgery ➲ Utoky metodou POST Popis útoku Zjištění informací o formuláři, odesílaných datech a cílovém scriptu Doplnek pro webový prohlížeč Průzkum sítové komunikace Průzkum zdrojového kodu stránky Vytvoření kopie formuláře Nalákání oběti Odeslání dat z formuláře

12 Cross-Site Request Forgery ➲ Utoky metodou POST Nedostatky popsaného útoku a vylepšení Viditelnost formuláře Prvky typu hidden Odeslání formuláře kliknutím na tlačítko Automatické odeslání JavaScriptem Zobrazení odpovědi od serveru Vložení formuláře do skrytého rámu

13 Cross-Site Request Forgery ➲ Napadení intranetu Intranetové aplkace Sítová zařízení ovládaná přes webové rozhraní Změny v nastavení hraničních bodů mohou umožnit vstup útočníka do intranetu

14 Cross-Site Request Forgery ➲ Další cíle CSRF útoků Ovlivnění výsledků anket Vkládání příspěvků do diskuzí Nákupy v e-shopech Přihazování v aukcích Změny v nastavení uživatelského účtu Krádež uživatelského účtu S vyššími právy možnost nadadení aplikace Utoky na webové aplikace v intranetu Změny v nastavení FW, routerů, apd.

15 Cross-Site Request Forgery ➲ Odkud může útok přijít Odkaz na webových stránkách Vložení odkazu do jakéhokoliv dokumentu, flashe, apd... E-maiem E-mail ve formátu html Vložení odkazu na externí zdroje (obrázek)‏ Vložení formuláře přímo zprávy Automatické odeslání formuláře IE - sdílení cookies s webovým prohlížečem

16 Cross-Site Request Forgery ➲ Elektroncké pasy Nejznámější Microsoft Passport Jednorázová registrace Po přihlášení ke službě možnost navštěvovat všechny servery, které jsou partnerem, pod svou identitou. Veliká hrozba a dopad CSRF útoků

17 Cross-Site Request Forgery ➲ Standardní scénář útočníka při CSRF Vytvoření účtu na napadeném serveru Vyzkoušení veškerých akcí k odhalení chování aplikace Hledání slabých míst, vkládání externích obrázků, XSS... Výběr vhodné metody a provedení útoku

18 Cross-Site Request Forgery ➲ Obrana Odhalení útoku uživatelem Jak se může uživatel bránit Odhalení útočníka správcem aplikace Možnosti obrany na straně serveru Zadávání hesla při akci Hlavička referer Proměnné URI Skrytá pole Metoda lístků

19 Cross-Site Request Forgery ➲ Obrana na straně uživatele Odhalení útoku většinou pozdě Paranoidní nastavení webového browseru Paranoidní nastavení firewallu Obrana prakticky neexistuje

20 Cross-Site Request Forgery ➲ Vystopování útočníka Ihned ze strany uživatele sledováním sítového provozu Později pouze na straně serveru a to jen v případě, pokud jsou vedeny logy včetně položky referer

21 Cross-Site Request Forgery ➲ Obrana zadáváním hesla Učinná metoda Nemožnost použít při všech akcích Při častém zadávání hesla otevírá nové možnosti pro jeho zcizení

22 Cross-Site Request Forgery ➲ Kontrola položky referer Učinná metoda Filtrování refereru na straně klienta znemožní provedení legitimních požadavků Výskyt exploitů na spoofing hlavičky referer

23 Cross-Site Request Forgery ➲ Ochrana použitím proměnného URI http://www.web.cz/JK34ADE4H543/script.php S dostatečně dlouhým a náhodným řetězcem bezpečná metoda Nalezením zranitelnosti XSS prolomitelné

24 Cross-Site Request Forgery ➲ Obrana pomocí náhodného identifikátoru ve skrytém poli Na začátku sezení je vygenerován náhodný řetězec, který se předává ve skrytém poli do všech formulářů. Bezpečné Napadnutelné pomocí XSS

25 Cross-Site Request Forgery ➲ Obrana pomocí lístků Náhodný řetězec vygenerován pro každou činnost Každý lístek uložen do úložiště s popisem činnosti Při provedení žádosti se ověřuje zda exstuje lístek Velice bezpečné Napadnutelné pomocí XSS

26 Cross-Site Request Forgery ➲ Obrana není jednoduchá ➲ Zranitelností CSRF trpí mnoho aplikací ➲ Konkrétní případy: Seznam.cz Volný.cz A mnoho dalších

Stáhnout ppt "Cross-Site Request Forgery Prezentace k přednášce o CSRF útocích Připraveno pro SOOM session #4 2007."

Podobné prezentace

Využití cloudových služeb ve školství

Využití cloudových služeb ve školství
Podpůrná prezentace k semestrálnímu projektu:

Podpůrná prezentace k semestrálnímu projektu:
Martin Holý.  HTML  xHTML  CSS  JavaScript  PHP.

Martin Holý.  HTML  xHTML  CSS  JavaScript  PHP.
Počítačové praktikum Úvod do předmětu

Počítačové praktikum Úvod do předmětu
Formuláře Formuláře lze nalézt téměř na každém webu. Formuláře lze nalézt téměř na každém webu. Použití formulářů: Použití formulářů: Blog Blog Uživatelské.

Formuláře Formuláře lze nalézt téměř na každém webu. Formuláře lze nalézt téměř na každém webu. Použití formulářů: Použití formulářů: Blog Blog Uživatelské.
CSS a HTML 5. HTML 5 HTML5 je nová verze specifikace značkovacího jazyka HTML, která přináší podstatné změny v technologiích webových stránek. HTML5 umožňuje.

CSS a HTML 5. HTML 5 HTML5 je nová verze specifikace značkovacího jazyka HTML, která přináší podstatné změny v technologiích webových stránek. HTML5 umožňuje.
PHP Zpracování formuláře v PHP - 11 Mgr. Josef Nožička IKT PHP www.zlinskedumy.cz.

PHP Zpracování formuláře v PHP - 11 Mgr. Josef Nožička IKT PHP
Návrh a tvorba WWW Cvičení 6

Návrh a tvorba WWW Cvičení 6
Vytvoření nového účtu na Gmail. Odeslání e-mailu na konkrétní emailovou adresu.

Vytvoření nového účtu na Gmail. Odeslání u na konkrétní ovou adresu.
Adobe Dreamweaver CS4 Ing. Martin Dosedla.

Adobe Dreamweaver CS4 Ing. Martin Dosedla.
Softwarové zabezpečení serveru

Softwarové zabezpečení serveru
NET Genium software pro výstavbu a provoz informačního portálu Martin Vonka

NET Genium software pro výstavbu a provoz informačního portálu Martin Vonka
Moderní formy tvorby webových stránek Martin Šebela, 9.A vedoucí práce: Mgr. Jan Kříž.

Moderní formy tvorby webových stránek Martin Šebela, 9.A vedoucí práce: Mgr. Jan Kříž.
Ukládání dat, e-mail a spam INTERNET Ukládání dat, e-mail a spam.

Ukládání dat, a spam INTERNET Ukládání dat, a spam.
Tutoriál Vlastní složka My EBSCOhost

Tutoriál Vlastní složka My EBSCOhost
PHP – Základy programování

PHP – Základy programování
Aplikace VT v hospodářské praxi internetové technologie Ing. Roman Danel, Ph.D. VŠB – TU Ostrava.

Aplikace VT v hospodářské praxi internetové technologie Ing. Roman Danel, Ph.D. VŠB – TU Ostrava.
Tento vzdělávací materiál vznikl v rámci projektu EU – peníze školám Název projektu : Objevujeme svět kolem nás Reg. číslo projektu: CZ.1.07/1.4.00/21.2040.

Tento vzdělávací materiál vznikl v rámci projektu EU – peníze školám Název projektu : Objevujeme svět kolem nás Reg. číslo projektu: CZ.1.07/1.4.00/
Celní služby 2000 Radek Sedláček TranSoft a.s. +420 38 7009111 www.transoft.cz Radek Sedláček TranSoft a.s. +420 38 7009111 www.transoft.cz.

Celní služby 2000 Radek Sedláček TranSoft a.s Radek Sedláček TranSoft a.s
Návrh a tvorba WWW Cvičení 4

Návrh a tvorba WWW Cvičení 4

Podobné prezentace

Reklamy Google