14:33
10/2/2011

Błędy bezpieczeństwa w Ruby on Rails i Django

Autor: Piotr Konieczny | Tagi:  

Developerzy frameworków Ruby on Rails oraz Django wypuścili aktualizacje fragmentów kodu odpowiedzialnych za ochronę przed atakami CSRF.

Ataki CSRF na Django i ROR

Oba frameworki posiadają standardową ochronę przed atakami CSRF, polegającą na sprawdzeniu tokena. Ochrona ta jednak nie obejmowała żądań AJAX-owych, które framework rozpoznawał po nagłówku X-Requested-With. Gwarantem bezpieczeństwa tego “wyjątku” przy weryfikacji tokena była SOP.

Okazuje się jednak, że można zmusić przeglądarkę do ustawienia nagłówka X-Requested-With w sposób inny niż za pomocą XMLHttpRequest z domeny webaplikacji — a tak przynajmniej twierdzi inżynier Google, który powiadomił teamy Django i ROR o technice ataku wykorzystującej “pewne pluginy w przeglądarkach oraz zestaw przekierowań“, pozwalający w konsekwencji na przesłanie zespoofowanego żądania pomiędzy różnymi domenami.

I mimo, że nie wyjawiono szczegółów ataku, to najwyraźniej nie można go lekceważyć — developerzy obu frameworków zdecydowali się na wydanie poprawek “niekompatybilnych” wstecz. Poprawki w dużej mierze polegają na objęciu żądaniach AJAX-owych wymogiem weryfikacji tokena CSRF. Zarówno Django jak i Ruby on Rails zachęcają do natychmiastowej aktualizacji.

Nie wszystko w powyższym tekście jest zrozumiałe? Może czas wybrać sie na nasze szkolenie z Atakowania i Ochrony Webaplikacji? W terminie lutowym zostały już tylko 3 miejsca 2 miejsca… — lepiej zarejestruj się już teraz :)

Przeczytaj także:

Niebezpiecznik

7 komentarzy

Dodaj komentarz
  1. Paweł Łuczkiewicz 2011.02.10 14:35 | # | Reply

    Szeryfie! Ruby nie Rubi :).

  2. Krzysztof Kotowicz 2011.02.10 15:31 | # | Reply

    Informacje z drugiej ręki – publikacji o szczegółach ataku można się spodziewać na dniach. Ptaszki ćwierkają o Flashu i magicznej liczbie 307…

  3. Dajaj Lama 2011.02.10 16:30 | # | Reply

    Niewiele rozumiesz z powyższego tekstu? Zapisz się na szkolenie. :)) Dobre. :)))

  4. mik 2011.02.10 19:22 | # | Reply

    polegają na objęciu żądaniach -> polegają na objęciu żądań

  6. chesteroni 2011.02.10 22:33 | # | Reply

    @Lama
    No niezłe, ale w sumie gorąco popieram. Kumający mają ciekawego newsa, a niekumający mają na wyciągnięcie ręki możliwość zamiany swego niekumania na głębokie zrozumienie :-)

  7. kaczor1984 2011.02.11 08:45 | # | Reply

    Przy upgradzie railsów 2.3.* uwaga na racka. W wersji 1.0.0 się wysypał po upgradzie do 2.3.11.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: