क्या सीएसआरएफ हमलों के लिए जेएसओएन वेब सेवाएं कमजोर हैं?

Question

मैं एक वेब सेवा का निर्माण कर रहा हूं जो विशेष रूप से जेएसओएन का अनुरोध और प्रतिक्रिया सामग्री (यानी, कोई फॉर्म एन्कोडेड पेलोड) के लिए उपयोग नहीं करता है।

क्या सीएसआरएफ हमले के लिए एक वेब सेवा कमजोर है यदि निम्नलिखित सत्य हैं?

1. एक शीर्ष स्तर JSON ऑब्जेक्ट के बिना किसी भी POST अनुरोध, उदाहरण के लिए, {"foo":"bar"}, एक 400 उदाहरण के लिए के साथ अस्वीकार कर दिया जाएगा, सामग्री 42 के साथ एक POST अनुरोध इस प्रकार अस्वीकृत कर दिया जाएगा।

2. application/json के अलावा किसी अन्य सामग्री प्रकार के साथ कोई POST अनुरोध एक 400 उदाहरण के लिए के साथ अस्वीकार कर दिया जाएगा, सामग्री प्रकार application/x-www-form-urlencoded के साथ एक POST अनुरोध इस प्रकार अस्वीकृत कर दिया जाएगा।

3. सभी जीईटी अनुरोध Safe होंगे, और इस प्रकार किसी सर्वर-साइड डेटा को संशोधित नहीं करेंगे।

4. ग्राहकों को सत्र कुकी के माध्यम से प्रमाणित किया जाता है, जो वेब सेवा उन्हें JSON डेटा के साथ एक पोस्ट के माध्यम से सही उपयोगकर्ता नाम/पासवर्ड जोड़ी प्रदान करने के बाद देता है, उदा। {"username":"user@example.com", "password":"my password"}।

अनुषंगी प्रश्न: PUT और DELETE अनुरोध कभी CSRF की चपेट में हैं? मैं पूछता हूं क्योंकि ऐसा लगता है कि अधिकांश (सभी?) ब्राउज़र इन तरीकों को HTML रूपों में अस्वीकार करते हैं।

संपादित करें: जोड़ा गया आइटम # 4।

संपादित करें: अब तक बहुत अच्छी टिप्पणियां और उत्तर हैं, लेकिन किसी ने भी एक विशिष्ट सीएसआरएफ हमला नहीं किया है जिस पर यह वेब सेवा कमजोर है।

Answer 1

मनमाने ढंग से मीडिया प्रकारों के साथ मनमाने ढंग से सीएसआरएफ अनुरोधों को फोर्ज करना एक्सएचआर के साथ प्रभावी रूप से संभव है, क्योंकि form’s method is limited to GET and POST और form’s POST message body is also limited to the three formats application/x-www-form-urlencoded, multipart/form-data, and text/plain। हालांकि, with the form data encoding text/plain it is still possible to forge requests containing valid JSON data।

तो एक्सएचआर-आधारित सीएसआरएफ हमलों से एकमात्र खतरा आता है। और वे केवल सफल होंगे यदि वे

• उसी मूल से चलते हैं, इसलिए मूल रूप से आपकी साइट से किसी भी तरह (ई। जी।एक्सएसएस), या
• एक अलग मूल से चल रहा है और आपके server allows such cross-origin requests।

यदि आप दोनों को खत्म कर सकते हैं, तो आपकी वेब सेवा सीएसआरएफ के लिए कमजोर नहीं है। कम से कम उन लोगों को नहीं जो वेब ब्राउज़र के माध्यम से किए जाते हैं।

Answer 2

क्या सीएसआरएफ हमले के लिए एक वेब सेवा कमजोर है यदि निम्नलिखित सत्य हैं?

हां। यह अभी भी HTTP है।

क्या सीएसआरएफ के लिए कभी भी कमजोर अनुरोध हैं?

हाँ

ऐसा लगता है सबसे (सभी?) ब्राउज़रों नामंज़ूर कि HTML में इन तरीकों रूपों

आपको लगता है कि एक ब्राउज़र एक HTTP अनुरोध बनाने के लिए एक ही रास्ता है?

Answer 3

मुझे बिंदु 3 से संबंधित कुछ संदेह हैं। हालांकि इसे सुरक्षित माना जा सकता है क्योंकि यह सर्वर की ओर से डेटा को नहीं बदलता है, डेटा अभी भी पढ़ा जा सकता है, और जोखिम यह है कि उन्हें चोरी किया जा सकता है।

http://haacked.com/archive/2008/11/20/anatomy-of-a-subtle-json-vulnerability.aspx/

Answer 4

यह JSON आधारित शोकहारा अजाक्स का उपयोग सेवाओं पर CSRF करने के लिए संभव है। मैंने इसे एक एप्लिकेशन (क्रोम और फ़ायरफ़ॉक्स दोनों का उपयोग करके) पर परीक्षण किया। आपको प्रीफलाइट अनुरोध से बचने के लिए सामग्री को टेक्स्ट/सादे टाइप करना होगा और जेएसओएन को डेटा टाइप करना होगा। फिर आप अनुरोध भेज सकते हैं, लेकिन सत्रडेटा भेजने के लिए, आपको अपने AJAX अनुरोध में क्रेडेंशियल ध्वज सेट करने की आवश्यकता है। मैं और अधिक विस्तार यहाँ में इस पर चर्चा (संदर्भ शामिल किए गए हैं):

http://wsecblog.blogspot.be/2016/03/csrf-with-json-post-via-ajax.html