14:33
10/2/2011

Developerzy frameworków Ruby on Rails oraz Django wypuścili aktualizacje fragmentów kodu odpowiedzialnych za ochronę przed atakami CSRF.

Ataki CSRF na Django i ROR

Oba frameworki posiadają standardową ochronę przed atakami CSRF, polegającą na sprawdzeniu tokena. Ochrona ta jednak nie obejmowała żądań AJAX-owych, które framework rozpoznawał po nagłówku X-Requested-With. Gwarantem bezpieczeństwa tego “wyjątku” przy weryfikacji tokena była SOP.

Okazuje się jednak, że można zmusić przeglądarkę do ustawienia nagłówka X-Requested-With w sposób inny niż za pomocą XMLHttpRequest z domeny webaplikacji — a tak przynajmniej twierdzi inżynier Google, który powiadomił teamy Django i ROR o technice ataku wykorzystującej “pewne pluginy w przeglądarkach oraz zestaw przekierowań“, pozwalający w konsekwencji na przesłanie zespoofowanego żądania pomiędzy różnymi domenami.

I mimo, że nie wyjawiono szczegółów ataku, to najwyraźniej nie można go lekceważyć — developerzy obu frameworków zdecydowali się na wydanie poprawek “niekompatybilnych” wstecz. Poprawki w dużej mierze polegają na objęciu żądaniach AJAX-owych wymogiem weryfikacji tokena CSRF. Zarówno Django jak i Ruby on Rails zachęcają do natychmiastowej aktualizacji.

Nie wszystko w powyższym tekście jest zrozumiałe? Może czas wybrać sie na nasze szkolenie z Atakowania i Ochrony Webaplikacji? W terminie lutowym zostały już tylko 3 miejsca 2 miejsca… — lepiej zarejestruj się już teraz :)

Przeczytaj także:

7 komentarzy

Dodaj komentarz
  1. Szeryfie! Ruby nie Rubi :).

  2. Informacje z drugiej ręki – publikacji o szczegółach ataku można się spodziewać na dniach. Ptaszki ćwierkają o Flashu i magicznej liczbie 307…

  3. Niewiele rozumiesz z powyższego tekstu? Zapisz się na szkolenie. :)) Dobre. :)))

  4. polegają na objęciu żądaniach -> polegają na objęciu żądań

  5. @Lama
    No niezłe, ale w sumie gorąco popieram. Kumający mają ciekawego newsa, a niekumający mają na wyciągnięcie ręki możliwość zamiany swego niekumania na głębokie zrozumienie :-)

  6. Przy upgradzie railsów 2.3.* uwaga na racka. W wersji 1.0.0 się wysypał po upgradzie do 2.3.11.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.