Autor Zpráva
gavec
Profil
Zdravim, mám jen takový rychlý dotaz. Dá se za csrf utok povazovat zkopirovani formulare z cizi webové aplikace a následné odeslání formuláře z vlastní webové aplikace? Nebo CSRF se da povazovat jen v pripade, ze se dany utok provadi pod jinym uzivatelem v cizi aplikaci?
ShiraNai7
Profil
Podle mě se to za CSRF považovat dá.. nemusí to být nutně pouze zneužití přihlášení, i když je to hlavní věc, proti které je třeba se bránit.

CSRF znamená Cross Site Request Forgery, takže jde o požadavky z jednoho webu na druhý za nějakým nekalým účelem (zneužití přihlášeného uživatele atp). Proti takovým požadavkům se aplikace většinou brání pomocí request tokenů (útočník nemá jak zjistit token pro dané sezení a požadavky bez validního tokenu nejsou zpracovány).

V případě, že aplikace úmyslně přímá takové požadavky (je to její funkce / účel), se o CSRF nejedná.
gavec
Profil
Přesně tak to vidím i já :) jen jsem se potřeboval ujistit. Díky moc.
Joker
Profil
gavec:
Dá se za csrf utok povazovat zkopirovani formulare z cizi webové aplikace a následné odeslání formuláře z vlastní webové aplikace?
Obecně rozhodně ne.
To by například vyhledávací políčko v této diskusi při zaškrtnutí volby „Googlem“ bylo CSRF. Nebo takovýto odkaz.

Na CSRF tam chybí to forgery. Okopírovaný formulář ze stránky obvykle neodesílá podvržená data, ale z pohledu uživatele i stránky očekávaná data vedoucí k uživatelem zamýšlené operaci.
Toto má jiný název, a sice parazitní formuláře. Někdy provozovateli stránky vadí, ale jindy je naopak podporuje (například Google umožňuje používat parazitní formuláře pro jeho vyhledávání).

V některých případech by ale asi bylo možné formulář upravit tak, aby CSRF dělal.
peta
Profil
Taky bych to nepovazoval za utok, pokud to k utoku nepouzil (utko by byl treba javascript, ktery to odesila stale dokola).
Nastav si tam podminku cookies a session pro prijmuti dat z formulare.

Vaše odpověď


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: