Làm cách nào để ngăn chặn tốt nhất các cuộc tấn công CSRF trong ứng dụng GAE?

Question

Vì vậy, cách tốt nhất để ngăn chặn một cuộc tấn công XSRF cho một ứng dụng GAE là gì? Hãy tưởng tượng những điều sau:

1. Bất kỳ ai cũng có thể thấy đối tượng công khai của người dùng và id db.Model được sử dụng để yêu cầu tìm ra đối tượng cần hiển thị. Người dùng độc hại hiện có id.
2. Người dùng độc hại tạo đối tượng của riêng họ và kiểm tra biểu mẫu xóa. Bây giờ họ biết làm thế nào để xóa một đối tượng với một id nhất định.
3. Người dùng độc hại được người dùng vô tội gửi yêu cầu xóa cho đối tượng của người dùng đó.

Tôi có thể thêm các bước nào để ngăn chặn # 3? Lưu ý rằng khi tôi nói ID, tôi đang sử dụng phần ID thực tế của khóa. Một ý tưởng tôi có là sử dụng giá trị khóa đầy đủ trong các yêu cầu xóa, nhưng điều đó có ngăn cản người dùng độc hại không thể tìm ra điều này không? Theo như tôi biết, điều quan trọng là một số kết hợp của loại lớp mô hình, id ứng dụng và id đối tượng đối tượng, vì vậy chúng có thể lấy được khóa từ id nếu chúng muốn.

Bất kỳ ý tưởng nào khác? Jeff đã viết a post about this và đề xuất một vài phương pháp - giá trị biểu mẫu ẩn sẽ thay đổi theo từng yêu cầu và giá trị cookie được ghi qua js vào biểu mẫu. Tôi sẽ không muốn loại trừ người dùng không phải javascript, vì vậy giải pháp cookie không tốt - đối với giá trị biểu mẫu ẩn, tôi sẽ phải ghi dữ liệu trên mọi yêu cầu hiển thị đối tượng xóa - không phải là tình huống lý tưởng cho khả năng mở rộng ứng dụng!

Có ý tưởng nào khác không?

Answer 1

Khi bạn tạo trang cho phép người dùng xóa đối tượng, tạo một mã thông báo ngẫu nhiên và đưa nó vào trường biểu mẫu ẩn. Cũng đặt cookie chỉ có HTTP với giá trị đó. Khi bạn nhận được yêu cầu xóa, hãy kiểm tra mã thông báo ngẫu nhiên từ biểu mẫu và giá trị từ kết hợp cookie.

Mã thông báo ngẫu nhiên của bạn không chỉ là một số ngẫu nhiên. Bạn nên mã hóa sự kết hợp của một số ngẫu nhiên và danh tính của người dùng, để làm cho nó khó khăn cho kẻ tấn công để giả mạo thẻ của riêng họ. Bạn cũng nên sử dụng các khóa mã hóa khác nhau cho giá trị được lưu trữ trong biểu mẫu và giá trị được lưu trữ trong cookie, vì vậy nếu một trong các mã thông báo bị rò rỉ thì vẫn khó cho kẻ tấn công giả mạo mã thông báo khác.

Cách tiếp cận này xác minh rằng yêu cầu xóa bắt nguồn từ biểu mẫu của bạn, bởi sự hiện diện của mã thông báo bảo mật trong biểu mẫu; và không yêu cầu ghi vào kho dữ liệu.

Cách tiếp cận này vẫn dễ bị tấn công tập lệnh chéo trang, nơi kẻ tấn công có thể truy xuất giá trị ẩn từ biểu mẫu hoặc gửi biểu mẫu, kiểm tra kỹ trang web của bạn về lỗ hổng tập lệnh chéo trang. Cách tiếp cận này cũng dễ bị tổn thương đối với các cuộc tấn công "clickjacking".

Answer 2

Đơn giản: Kiểm tra người giới thiệu. Đó là (cố tình) không thể thiết lập điều này bằng cách sử dụng Javascript, HTML forms, vv Nếu nó trống (một số proxy và trình duyệt strip referers) hoặc từ trang web của riêng bạn - hoặc cụ thể hơn từ nguồn dự kiến ​​- cho phép nó. Nếu không, từ chối nó và đăng nhập nó.

Chỉnh sửa: Jeff đã viết followup article bằng một vài cách để ngăn chặn các cuộc tấn công CSRF.

Answer 3

Trong phản hồi của máy chủ hiển thị biểu mẫu tạo một băm ma thuật (dựa trên client ip + date/time + random salt, bất cứ điều gì). Đặt nó vào một cookie và lưu trữ một nơi nào đó trên máy chủ. Trong quá trình xử lý tác vụ gửi kiểm tra hash cookie đối với mục nhập cơ sở dữ liệu.

Nếu không có mã băm nào khác nhau, hãy từ chối nội dung gửi.

Sau khi gửi thành công, bạn có thể xóa mục nhập băm, thay đổi trạng thái của nó để gửi - bất kỳ điều gì phù hợp với bạn.

Phương pháp đó nên bảo vệ bạn trong nhiều trường hợp, nhưng chắc chắn vẫn không thể chống đạn 100%.

Thực hiện tìm kiếm các bài viết về CSRF, có thể bạn sẽ tìm thấy một số câu trả lời hay về điều này Stack Overflow. ;)

Không thực hiện bất kỳ kiểm tra liên kết giới thiệu hoặc xác thực IP khách hàng nào - thông tin giới thiệu có thể bị xóa bởi tác nhân người dùng, proxy hoặc tùy chọn của người dùng) và IP của khách hàng có thể thay đổi giữa biểu mẫu tạo và gửi - không trừng phạt người dùng để phân bổ địa chỉ IP động.