Я пытаюсь реализовать CSRF и SSL (они не полностью зависят) и перечисление ниже моего понимания на эту тему для получения доказательства понимания. Пожалуйста, не стесняйтесь исправить меня о понимании.
Мы видим токен CSRF практически во всех наших безопасных приложениях.Основы CSRF с SSL и CSRF Relatioship
Как Cross-Site Request подлог (CSRF) работы:
Вы вошли в свой банковский счет (., Например, ВОО или JPMC) и смотрят на своих счетах или просто сидит их открыли в вашем браузере просто потому что вы заняты. Теперь вы получаете электронное письмо, это может быть текст/изображение или что-либо на следующей вкладке. В тот момент, когда электронные письма получают такие функции, как onload и т. Д., Другая функция java-скрипта может инициировать запрос GET/PUT/POST из вашего браузера, не зная об этом. Теперь необходимо отметить, что CSRF не может ничего читать с вашей защищенной веб-страницы, поскольку в тот момент, когда у вас есть надлежащий SSL, защищенные страницы зашифровываются. А также CSRF не может украсть ваши учетные данные. На самом деле он не может обнаружить токен CSRF, хранящийся внутри скрытого тега внутри защищенного веб-сайта, потому что он зашифрован. Он работает только после того, как вы аутентифицировали себя на веб-сайте, и он запускает запросы, которые обманывают сервер, думая, что запрос поступает из браузера, в который вы только вошли, и, следовательно, сервер работает в соответствии с полученным запросом.
Теперь хакер пытается открыть атаку CSRF, это фокусы браузера для отправки URL:
<img src="https://www.bankWebsite.com/transfer?amount=1000&destination=8990">
Таким образом, без вашего ведома, от сеанса, который удостоверен вами, просьба обжигают говорить передать количество 1000 на счетном номере 8990 n BOOM вы были ограблены за 1000 баксов именно так.
Как защитить самостоятельно, вы:
защита CSRF может быть сделано несколькими способами:
1) Проверка происхождения запроса из заголовка
2) Проверка целевого запроса
3) CSRF маркер
Как работает CSRF токен защита:
CSRF токен в настоящее время в заголовке/куки. Поэтому, когда хакер обманывает браузер для отправки запроса на сервер, токен присутствует только в заголовке, а не в форме. Поэтому, когда сервер проверяет, получен ли токен CSRF, он пытается сопоставить токен CSRF из заголовка с полученным из формы/запроса. Если он отсутствует/не соответствует, то сервер идентифицирует, что это атака, и эта попытка не позволяет дальше проникнуть в запрос.
Прошу вас, пожалуйста, исправить меня, если мое понимание о нападении CSRF, защита правильная или нет?
Также это означает без правильной реализации SSL, CSRF бесполезен?
И вопрос ...? – Andreas
@ Целью Andreas является знать, правильно ли понимается необходимость в CSRF и защита от CSRF, чтобы проект мог быть начат для проекта. –
[OWASP: Подделка запросов на межсайтовый запрос (CSRF)] (https://www.owasp.org/index.php/CSRF) – Andreas