20061031

What is CSRF?

Link

RSnake had a post on that question. The gist was not what it fundamentally was, but what types of things ought you be able to do with it in such a way that it would actually be a bad thing.

For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last few days I’ve really been trying to figure out what CSRF (Cross site request forgeries) are. I know that might seem like a pedantic or academic question but it’s really not. Here’s what I’m really concerned with. Without being able to define it we can’t even start talking about how to defend it. Stopping all cross site calls would break cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 internet and unfortunately wouldn’t solve a lot of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CSRF attacks out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re anyway (since many are really SAME site request forgeries).

I'm more interested in fixing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problems than defining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threats for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 developers. So if fixing certain vulnerabilities makes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat of [XC]SRF a non-issue, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n defining what constitutes it is not that big of a deal. Unfortunately, we have to be able to make up a new term for something and make everybody really scared of it in order to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 developers to write cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir code properly - which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y knew how to do anyway, just didn't do it.

My response to RSnake's post follows:
[XC]SRF is a threat. The vulnerabilities (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are multiple) that contribute to it are at least threefold:
1) long session timeout:
reducing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 session timeout will only reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 window when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack would actually function. It's hard to lure a user to "Log into your sla.ckers.org account, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n come visit my site". But it could still happen.
2) allowing critical changes over GET:
this begins to sound like what you're driving at - define "critical". But only allowing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stuff to go through POST actually reduces cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 possibility of [XC]SRF.
3) lack of flow control:
sites ought to have some ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r control to verify that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user is eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r aware of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 change that's going to take place, or that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y've visited cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 change page prior to submitting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 change page. The classic examples are things like - require your current password to enter a new one, or enter a CAPTCHA to perform some ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r critical operation, or to at least use a token in a hidden form that's matched to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same value in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 session.

For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sake of correcting developers, I'm really beginning to look at real vulnerabilities, not just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threats that exploit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

0 comments: