Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Иван Громов. Кроссдоменная безопасность в браузере

Python Community Chelyabinsk
February 03, 2018
Programming
0
18

Иван Громов. Кроссдоменная безопасность в браузере

Все видели кнопки оплаты платежных систем в Интернете. Рассмотрим как они устроены. Челлендж в том, чтобы не отправлять пользователя на сайт оплаты с номером заказа, а сделать всё на сайте магазина. Для этого мы вооружимся кроссдоменными запросами и iframe-ами. Также рассмотрим, что нужно учесть на стороне сервера, чтобы это заработало

Python Community Chelyabinsk

February 03, 2018
Tweet

More Decks by Python Community Chelyabinsk

See All by Python Community Chelyabinsk
Антон Палий. Как я из python-разработчика стал первым SRE-инженером в своей команде
pychel
0
63
Александр Шибаев. Dependency injection: как использовать и почему это упрощает разработку
pychel
0
270
Дмитрий Соболев. GraphQL в проекте на Python
pychel
1
120
Алексей Шагалеев. Логирование и сбор метрик, быстро и просто
pychel
0
180
Александр Уфимцев. Использование Python для управления интернетом вещей
pychel
0
96
Иван Матвеев. Как услышать бизнес и сделать быстро, в бюджет и качественно: уходим от feature-based разработки и концентрируемся на домене
pychel
0
100
Иван Матвеев. Трассировка и логгирование в микросервисах: зачем, как, а также грабли и как наступать на них аккуратно
pychel
0
66
Юлия Саитгалиева. Как перестать беспокоиться и начать писать автотесты
pychel
1
130
Алексей Созыкин. Asynchronous frameworks battle
pychel
1
440

Other Decks in Programming

See All in Programming
StoreKit2によるiOSのアプリ内課金のリニューアル
kangnux
0
100
入門 AWS Amplify Gen2 / Introduction to AWS Amplify Gen2
genkiogasawara
1
310
コーンフレークから始める モデリング会話入門
ogurotakayuki
0
280
脱・初心者!脱・マネコン!AWS CDKを使ってみませんか!?
har1101
0
300
Folding Cheat Sheet #3
philipschwarz
PRO
0
120
SpringBoot+MyBatisで例外が出たときどこを見るか
syukai
0
110
Hanami and htmx
bkuhlmann
0
190
if constexpr文はテンプレート世界のラムダ式である
faithandbrave
0
160
単体テストを書かない技術 #phpcon_odawara
o0h
PRO
26
7.9k
今の SmartHR にエンジニアで入社するとどうなるの?
daisukeshinoku
5
4.6k
HUIT新歓2024「競技プログラミング、やってみませんか?」
slephy2784
1
250
AWS Application Composerで始める、 サーバーレスなデータ基盤構築 / 20240406-jawsug-hokuriku-shinkansen
kasacchiful
1
250

Featured

See All Featured
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
501
140k
Robots, Beer and Maslow
schacon
PRO
155
7.9k
No one is an island. Learnings from fostering a developers community.
thoeni
14
2.1k
Rebuilding a faster, lazier Slack
samanthasiow
72
8.2k
Designing for Performance
lara
601
67k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
12
1.5k
BBQ
matthewcrist
80
8.7k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
154
14k
Typedesign – Prime Four
hannesfritz
36
2.1k
Learning to Love Humans: Emotional Interface Design
aarron
266
39k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
20
1.6k
A better future with KSS
kneath
231
16k

Transcript

  1. Кроссдоменная безопасность в браузере Иван Громов Фронтэндщик coins.ph

  2. Ambient Authority Ранние браузеры могли делать только GET и POST

    запросы Ambient authority — «размытые полномочия» <form action="http://bank.com/transfer.do"> <input type="hidden" name="acct" value="Bob"> <input type="hidden" name="value" value="10000"> <input type="submit" value="Earn $100 now!"> </form>

  3. Same Origin Policy Origin = протокол + домен + порт

    + IE* * политика отключена в trust zones, локальных сетях и не учитывает порт Можно ✔ Подключить ресурсы Отправить форму POST-ом ❌ Нельзя AJAX запросы Доступ к DOM (для iframe, popup)

  4. Cross Origin Resource Sharing (CORS) Simple запросы Метод: GET, POST,

    HEAD Заголовки: Accept, Accept-Language, Content-Language, Content-Type Content-Type: application/x-www-form-urlencoded, multipart/form-data, text/plain

  5. Пример CORS Preflight (Предзапрос) Предзапрос OPTIONS /resources/post/ Access-Control-Request-Method: PUT Access-Control-Request-Headers:

    X-PINGOTHER, Content-Type Ответ Access-Control-Allow-Methods: PUT, GET, OPTIONS Access-Control-Allow-Headers: X-PINGOTHER, Content-Type

  6. Заголовки ответа CORS Access-Control-Allow-Origin — [https://]example.com[:8081], *, null нельзя: site1.com

    site2.com, *.example.com, null Access-Control-Allow-Credentials — true | false нельзя с Access-Control-Allow-Origin: * Access-Control-Max-Age: 60 обязательно Vary: Origin

  7. От чего защищает CORS? — ни от чего

  8. Пример

  9. ОСТОРОЖНО, ТОНКИЙ ЛЁД!

  10. База данных class Wallet(models.Model): balance = models.DecimalField('Balance') user = models.ForeignKey('auth.User')

    class Transfer(models.Model): amount = models.DecimalField('Amount') wallet_from = models.ForeignKey('wallet.Wallet') wallet_to = models.ForeignKey('wallet.Wallet') timestamp = models.DateTimeField(auto_now_add=True)

  11. Наивное API POST /api/tx/ {"to": "user1", "amount": 1} > Access-Control-Allow-Origin:

    https://good-partner.com > {"ok": true}

  12. Наивное API POST /api/tx/ {"to": "user1", "amount": 1} > Access-Control-Allow-Origin:

    https://good-partner.com > {"ok": true} 1. В API принимайте только application/json, его нельзя послать из обычной формы 2. Используйте Сross Site Request Forgery (CSRF) токены (а в Django просто не отключайте)

  13. TokenAuthentication Подходит для Desktop, Mobile клиентов и… CORS from rest_framework.authtoken.models

    import Token token = Token.objects.create(user=request.user) $ curl -X GET http://127.0.0.1:8000/api/example/ -H 'Authorization: Token 9944b09199c62bcf9418ad846dd0e4bbdfc6ee4b'

  14. PostMessage API «...предоставляет контролируемый механизм, чтобы обойти это ограничение [SOP]

    способом, который безопасен при правильном использовании.» Mozilla Developer Network Web Docs

  15. PostMessage API Сайт партнера (основная страница) var popup = window.open("https://payment.com/iframe")

    popup.postMessage('getToken', 'https://payment.com'); Платежная система (popup/iframe) function receiveMessage(event) { if (event.origin !== "https://good-partner.com") return; } window.addEventListener("message", receiveMessage);

  16. API с токенами POST /api/token?origin=https://good-partner.com > {"token": "absdef12345"} POST /api/tx/

    {"user_to": 'user1", "amount": 1} + Token Auth > Access-Control-Allow-Origin: https://good-partner.com > Access-Control-Allow-Headers: Authorization > {"ok": true}

  17. Получение токена через iframe partner.com КУПИТЬ iframe payment.com/iframe.html 1 /token

    API Session Cookie 2 token payment.com server 3 /api/tx TokenAuthentication

  18. Авторизация через iframe partner.com КУПИТЬ iframe payment.com/iframe.html 1 /token API

    Session Cookie 2 token??? :( 3 payment.com/login.html Session Cookie, window.open 4 postMessage(“try again”)

  19. Заголовки безопасности X-Frame-Options Content Security Policy (SCP) HSTS (HTTP Strict

    Transport Security) HPKP (Public Key Pinning) SRI (Subresource Integrity) X-XSS-Protection Referrer-Policy а также — cookies: http, secure, SameSite — TFA (СМС код) — область действия токена

  20. Ссылки securityheaders.io — использует ли ваш сайт все возможные заголовки

    W3C CORS for Developers — использовал при подготовке Cure53 Browser Security White Paper — 300+ страниц про веб безопасность Understanding CSRF — статья про CSRF, как работает, зачем нужен OWASP 2017 Top 10 — рейтинг уязвимостей в вебе за прошлый год Демо — репозиторий на github с платежной системой и магазином