Вход / Регистрация


Вход на сайт:
Логин: 
Пароль: 


Впервые здесь?
 
Регистрация [?]:
Регистрация у нас позволит:
  • Покупать платные продукты из каталога и иметь к ним доступ в любое время
  • Задавать вопросы другим людям, участвовать в дискуссиях
  • Публиковать свои расширения, программы и софт, если Вы разработчик или дистрибьютор
  • Добавлять интересные ссылки и иметь к ним доступ из любой точки, где есть выход в Интернет
  • Следить за обновлениями сервиса и получать дополнительные возможности, которых не имеют обычные гости
  • Следить за новыми статьями и получать новые знания
Выберите логин:
Ваш Email:
Введите результат выполнения операции (цифрами):
20 - 2 = ? Обновить

Безопасность в Joomla
Защита от CSRF-атак в Joomla PDF Печать E-mail
Автор: Максим   
09.08.2010 17:52
Понравилось:
3


Не понравилось: 4
Недоступен ни один перевод.

Что такое CSRF-атака?
============
CSRF (Cross Site Request Forgery) - в дословном переводе с английского - "кросс-сайтовая подделка HTTP-запросов". Данный тип атаки основывается на доверии сайта, что пользователь может выполнить неавторизованные запросы и/или транзакции. Скажем, пользователь Joomla вошел в интерфейс панели администрирования в одной вкладке браузера и просматривает некий вредоносный сайт в другой вкладке. Простая CSRF-атака может быть запущена в вредоносного сайта путем простых невидимых действий, используемых с атрибутом src элементов IMG, чтобы они указывали на URL вроде этого:
Когда пользователь просматривает сомнительный сайт, эта картинка будет запрошена и поскольку пользователь в настоящее время залогинился в администраторский интерфейс своего сайта Joomla, поддельный запрос будет положительно авторизован и выполнен. Чтобы предотвратить такие простые CSRF-атаки наподобие этой, ко всем формам во front-end и back-end частях сайта добавляются токены запросов (request tokens). Токены - это произвольно сгенерированные строки, которые используются для того, чтобы удостовериться, что посылаемый запрос исходит из корректной формы и корректной сессии. Это простая мера предосторожности очень эффективна для предотвращения большого процента потенциальных CSRF-атак, однако, из-за природы CSRF, чрезвычайно сложно защититься от них полностью.

Что такое CSRF-атака?

CSRF (Cross Site Request Forgery) - в дословном переводе с английского - "кросс-сайтовая подделка HTTP-запросов". Данный тип атаки основывается на доверии сайта, что пользователь может выполнить неавторизованные запросы и/или транзакции. Скажем, пользователь Joomla вошел в интерфейс панели администрирования в одной вкладке браузера и просматривает некий вредоносный сайт в другой вкладке. Простая CSRF-атака может быть запущена в вредоносного сайта путем простых невидимых действий, используемых с атрибутом src элементов IMG, чтобы они указывали на URL вроде этого:

http://some/joomla/site/administrator/index2.php?option=com_users&task=delete...

 Когда пользователь просматривает сомнительный сайт, эта картинка будет запрошена и поскольку пользователь в настоящее время залогинился в администраторский интерфейс своего сайта Joomla, поддельный запрос будет положительно авторизован и выполнен. Чтобы предотвратить такие простые CSRF-атаки наподобие этой, ко всем формам во front-end и back-end частях сайта добавляются токены запросов (request tokens). Токены - это произвольно сгенерированные строки, которые используются для того, чтобы удостовериться, что посылаемый запрос исходит из корректной формы и корректной сессии. Это простая мера предосторожности очень эффективна для предотвращения большого процента потенциальных CSRF-атак, однако, из-за природы CSRF, чрезвычайно сложно защититься от них полностью.

Обновлено 13.08.2010 16:28
Подробнее...
 


Нашли ошибку?

Система Orphus

Система Orphus

Оплата на сайте

Яндекс.Деньги
www.megastock.ru
Здесь находится аттестат нашего WM идентификатора 207935874510
Проверить аттестат

Статистика сайта

Яндекс.Метрика

Мы в Интернете


Allineed.Ru © 2009-2012 - Allineed.Ru - ответы на IT вопросы, статьи о разработке, IT и программном обеспечении. При использовании материалов сайта ссылка обязательна. Использование данного сайта и любой его части означает принятие условий Пользовательского Соглашения.
Allineed.Ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters. The Joomla! name and logo is used under a limited license granted by Open Source Matters the trademark holder in the United States and other countries.