Comments 34
Этим больны 90% бОльшая часть сайтов
«Разбуди в себе Хомякова! Хакни что-нибудь!» =)
>>Но мне не понятно, почему его допускают в таком ПО
за всем не уследишь же, особенно когда работает большая команда.
за всем не уследишь же, особенно когда работает большая команда.
Объясните пожалуйста, чем эта уязвимость так опасна? Думаю что не только спамом.
Да, не только спамом. Можно постить комментарии и от имени зарегистрированных на ресурсе пользователей, что в определенных случаях действительно более опасно, чем спам. Так, в процессе тестирования в блог попадали комментарии от моего аккаунта, а не имени сгенерированного скриптом.
К примеру тут, на хабре, такую уязвимость недавно использовали для поднятия собственной кармы, руками других пользователей (без их ведома естественно).
Это — не CSRF-уязвимость. Это всего лишь гостевой доступ.
Эта фишка не нова, она давно применяется в спамерах по wordpress, которые один раз парсят форму и уже потом постоянно спамят одним post запросом, чтобы добиться очень больших скоростей :).
Разработчикам давно пора ввести токены с использованием javascript.
Разработчикам давно пора ввести токены с использованием javascript.
>Подумал — может и я так смогу?
совершенно не зря так подумал. уязвимость крайне распространена — можно найти десяток за час на разных популярных сайтах любому новичку. тестить вордпресс тоже хорошая идея. я поддерживаю. а то «сообществу» никаких аргументов недостаточно — все им «это ошибка разработчика» да «бага известная поэтому ты ничего нового не доказываешь». прям парадокс
совершенно не зря так подумал. уязвимость крайне распространена — можно найти десяток за час на разных популярных сайтах любому новичку. тестить вордпресс тоже хорошая идея. я поддерживаю. а то «сообществу» никаких аргументов недостаточно — все им «это ошибка разработчика» да «бага известная поэтому ты ничего нового не доказываешь». прям парадокс
You're doing it wrong. Теперь надо посетить форум wp и поднять истерику на ломаном англицком, после (возомнив себя кулхацкером) завести страничку в бложике с предложением услуг по аудиту безопасности данной проблемы и расписать тарифы ($9000/hr). И тут начинается игра в неуловимого Джо…
> Вывод — используйте капчу! :)
Зачем? CSRF-уязвимость успешно лечится добавлением csrf-токена
Зачем? CSRF-уязвимость успешно лечится добавлением csrf-токена
Читаю сейчас книгу asp.net: «ASP.NET MVC 3» Адама Фримена и был довольно сильно удивлён тем, что о csrf уязвимости (не только о ней, но это было и в предыдущих книгах, sql inj/xss etc) написан большой подробный пункт, в котором объясняется что это такое и как с этим бороться встроенными средствами.
Мне кажется, что вот если бы такие врезки были в каждой книге, описывающие серверные веб технологии, тогда и процент уязвимых сайтов был бы не так высок.
Мне кажется, что вот если бы такие врезки были в каждой книге, описывающие серверные веб технологии, тогда и процент уязвимых сайтов был бы не так высок.
Это никакая не серверная технология. Просто мелкая доработка: каждая форма имеет, грубо-говоря, свой уникальный идентификатор. И если ты его не отправил — стало-быть ты не открывал данную форму и не можешь данные из неё сохранить.
UFO just landed and posted this here
Вам уже выше ответили — Вы путаете защиту от ботов/спама и защиту от CSRF уязвимости. И раз Вас плюсуют, то не Вы один. Попробую в двух словах объяснить:
Если форма не подписана токеном, который, например зависит от сессии — злоумышленник может легко совершить некое действие за вас, а вы даже и не узнаете, перейдя по ссылке goo.gl и увидев ролик о котятах.
Ботам же на токены наплевать, они их забирают прямо из html. От ботов используются капчи и другие средства.
Не путайте пожалуйста
Если форма не подписана токеном, который, например зависит от сессии — злоумышленник может легко совершить некое действие за вас, а вы даже и не узнаете, перейдя по ссылке goo.gl и увидев ролик о котятах.
Ботам же на токены наплевать, они их забирают прямо из html. От ботов используются капчи и другие средства.
Не путайте пожалуйста
UFO just landed and posted this here
Да, именно так.
Но в данном конкретном случае можно постить и анонимные комментарии, что также открывает широкие возможности спамерам. Получается, что для спама с помощью этой дырки не нужны никакие боты и ботнеты — просто загружаем нашу вредоносную страничку на бесплатный хостинг и заказываем туда много посещений.
Но в данном конкретном случае можно постить и анонимные комментарии, что также открывает широкие возможности спамерам. Получается, что для спама с помощью этой дырки не нужны никакие боты и ботнеты — просто загружаем нашу вредоносную страничку на бесплатный хостинг и заказываем туда много посещений.
Надо заметить, что автор статьи не сделал достаточный акцент на этом, отсюда такая путаница у многих.
Я написал «серверная технология» применительно к «в каждой книге», а не к csrf уязвимости в общем. Извиняюсь если ввел в заблуждение, красноречием не владею.
Only those users with full accounts are able to leave comments. Log in, please.
CSRF уязвимость в Wordpress — комментарии