Login / Sign Up


Enter site:
Login: 
Password: 


First time here?
 
Register [?]:
Registering allows you:
  • Purchase products from the product catalog and access them any time.
  • Ask questions to another specialists in IT
  • Publish your own Joomla extensions, soft or other products if you are developer or distributor
  • Add interesting weblinks and access them from any place
  • Watch the updates of the site and have special abilities that guests don't have
  • Watch the news of the service and new articles and get knowledge
Choose login:
Your Email:
Enter the result of operation (in digits):
12 + 1 = ? Update

Security In Joomla
Защита от CSRF-атак в Joomla PDF Print E-mail
Written by Максим   
Monday, 09 August 2010 17:52
Liked:
3


Did not like: 4
Что такое CSRF-атака?
============
CSRF (Cross Site Request Forgery) - в дословном переводе с английского - "кросс-сайтовая подделка HTTP-запросов". Данный тип атаки основывается на доверии сайта, что пользователь может выполнить неавторизованные запросы и/или транзакции. Скажем, пользователь Joomla вошел в интерфейс панели администрирования в одной вкладке браузера и просматривает некий вредоносный сайт в другой вкладке. Простая CSRF-атака может быть запущена в вредоносного сайта путем простых невидимых действий, используемых с атрибутом src элементов IMG, чтобы они указывали на URL вроде этого:
Когда пользователь просматривает сомнительный сайт, эта картинка будет запрошена и поскольку пользователь в настоящее время залогинился в администраторский интерфейс своего сайта Joomla, поддельный запрос будет положительно авторизован и выполнен. Чтобы предотвратить такие простые CSRF-атаки наподобие этой, ко всем формам во front-end и back-end частях сайта добавляются токены запросов (request tokens). Токены - это произвольно сгенерированные строки, которые используются для того, чтобы удостовериться, что посылаемый запрос исходит из корректной формы и корректной сессии. Это простая мера предосторожности очень эффективна для предотвращения большого процента потенциальных CSRF-атак, однако, из-за природы CSRF, чрезвычайно сложно защититься от них полностью.

Что такое CSRF-атака?

CSRF (Cross Site Request Forgery) - в дословном переводе с английского - "кросс-сайтовая подделка HTTP-запросов". Данный тип атаки основывается на доверии сайта, что пользователь может выполнить неавторизованные запросы и/или транзакции. Скажем, пользователь Joomla вошел в интерфейс панели администрирования в одной вкладке браузера и просматривает некий вредоносный сайт в другой вкладке. Простая CSRF-атака может быть запущена в вредоносного сайта путем простых невидимых действий, используемых с атрибутом src элементов IMG, чтобы они указывали на URL вроде этого:

http://some/joomla/site/administrator/index2.php?option=com_users&task=delete...

 Когда пользователь просматривает сомнительный сайт, эта картинка будет запрошена и поскольку пользователь в настоящее время залогинился в администраторский интерфейс своего сайта Joomla, поддельный запрос будет положительно авторизован и выполнен. Чтобы предотвратить такие простые CSRF-атаки наподобие этой, ко всем формам во front-end и back-end частях сайта добавляются токены запросов (request tokens). Токены - это произвольно сгенерированные строки, которые используются для того, чтобы удостовериться, что посылаемый запрос исходит из корректной формы и корректной сессии. Это простая мера предосторожности очень эффективна для предотвращения большого процента потенциальных CSRF-атак, однако, из-за природы CSRF, чрезвычайно сложно защититься от них полностью.

Last Updated on Friday, 13 August 2010 16:28
Read more...
 


Found Error?

Система Orphus

Система Orphus

Site Statistics

Яндекс.Метрика

Our Pages


Allineed.Ru © 2009-2012 - Allineed.Ru - ответы на IT вопросы, статьи о разработке, IT и программном обеспечении. При использовании материалов сайта ссылка обязательна. Использование данного сайта и любой его части означает принятие условий Пользовательского Соглашения.
Allineed.Ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters. The Joomla! name and logo is used under a limited license granted by Open Source Matters the trademark holder in the United States and other countries.