10/2/2011
Developerzy frameworków Ruby on Rails oraz Django wypuścili aktualizacje fragmentów kodu odpowiedzialnych za ochronę przed atakami CSRF.
Ataki CSRF na Django i ROR
Oba frameworki posiadają standardową ochronę przed atakami CSRF, polegającą na sprawdzeniu tokena. Ochrona ta jednak nie obejmowała żądań AJAX-owych, które framework rozpoznawał po nagłówku X-Requested-With. Gwarantem bezpieczeństwa tego “wyjątku” przy weryfikacji tokena była SOP.
Okazuje się jednak, że można zmusić przeglądarkę do ustawienia nagłówka X-Requested-With w sposób inny niż za pomocą XMLHttpRequest z domeny webaplikacji — a tak przynajmniej twierdzi inżynier Google, który powiadomił teamy Django i ROR o technice ataku wykorzystującej “pewne pluginy w przeglądarkach oraz zestaw przekierowań“, pozwalający w konsekwencji na przesłanie zespoofowanego żądania pomiędzy różnymi domenami.
I mimo, że nie wyjawiono szczegółów ataku, to najwyraźniej nie można go lekceważyć — developerzy obu frameworków zdecydowali się na wydanie poprawek “niekompatybilnych” wstecz. Poprawki w dużej mierze polegają na objęciu żądaniach AJAX-owych wymogiem weryfikacji tokena CSRF. Zarówno Django jak i Ruby on Rails zachęcają do natychmiastowej aktualizacji.
Szeryfie! Ruby nie Rubi :).
Informacje z drugiej ręki – publikacji o szczegółach ataku można się spodziewać na dniach. Ptaszki ćwierkają o Flashu i magicznej liczbie 307…
Niewiele rozumiesz z powyższego tekstu? Zapisz się na szkolenie. :)) Dobre. :)))
polegają na objęciu żądaniach -> polegają na objęciu żądań
A oto i zapowiadane wyjaśnienie: http://lists.webappsec.org/pipermail/websecurity_lists.webappsec.org/2011-February/007533.html
@Lama
No niezłe, ale w sumie gorąco popieram. Kumający mają ciekawego newsa, a niekumający mają na wyciągnięcie ręki możliwość zamiany swego niekumania na głębokie zrozumienie :-)
Przy upgradzie railsów 2.3.* uwaga na racka. W wersji 1.0.0 się wysypał po upgradzie do 2.3.11.