Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Иван Громов. Кроссдоменная безопасность в браузере

Python Community Chelyabinsk
February 03, 2018
Programming
0
19

Иван Громов. Кроссдоменная безопасность в браузере

Все видели кнопки оплаты платежных систем в Интернете. Рассмотрим как они устроены. Челлендж в том, чтобы не отправлять пользователя на сайт оплаты с номером заказа, а сделать всё на сайте магазина. Для этого мы вооружимся кроссдоменными запросами и iframe-ами. Также рассмотрим, что нужно учесть на стороне сервера, чтобы это заработало

Python Community Chelyabinsk

February 03, 2018
Tweet

More Decks by Python Community Chelyabinsk

See All by Python Community Chelyabinsk
Антон Палий. Как я из python-разработчика стал первым SRE-инженером в своей команде
pychel
0
93
Александр Шибаев. Dependency injection: как использовать и почему это упрощает разработку
pychel
0
500
Дмитрий Соболев. GraphQL в проекте на Python
pychel
1
120
Алексей Шагалеев. Логирование и сбор метрик, быстро и просто
pychel
0
200
Александр Уфимцев. Использование Python для управления интернетом вещей
pychel
0
110
Иван Матвеев. Как услышать бизнес и сделать быстро, в бюджет и качественно: уходим от feature-based разработки и концентрируемся на домене
pychel
0
120
Иван Матвеев. Трассировка и логгирование в микросервисах: зачем, как, а также грабли и как наступать на них аккуратно
pychel
0
84
Юлия Саитгалиева. Как перестать беспокоиться и начать писать автотесты
pychel
1
130
Алексей Созыкин. Asynchronous frameworks battle
pychel
1
440

Other Decks in Programming

See All in Programming
C++でシェーダを書く
fadis
6
4.1k
AI時代におけるSRE、
あるいはエンジニアの生存戦略
pyama86
6
1.2k
LLM生成文章の精度評価自動化とプロンプトチューニングの効率化について
layerx
PRO
2
190
OSSで起業してもうすぐ10年 / Open Source Conference 2024 Shimane
furukawayasuto
0
110
3rd party scriptでもReactを使いたい! Preact + Reactのハイブリッド開発
righttouch
PRO
1
600
ヤプリ新卒SREの オンボーディング
masaki12
0
130
OnlineTestConf: Test Automation Friend or Foe
maaretp
0
110
Hotwire or React? ~アフタートーク・本編に含めなかった話~ / Hotwire or React? after talk
harunatsujita
1
120
Compose 1.7のTextFieldはPOBox Plusで日本語変換できない
tomoya0x00
0
190
アジャイルを支えるテストアーキテクチャ設計/Test Architecting for Agile
goyoki
9
3.3k
距離関数を極める! / SESSIONS 2024
gam0022
0
280
みんなでプロポーザルを書いてみた
yuriko1211
0
260

Featured

See All Featured
YesSQL, Process and Tooling at Scale
rocio
169
14k
The Language of Interfaces
destraynor
154
24k
The Power of CSS Pseudo Elements
geoffreycrofte
73
5.3k
Code Reviewing Like a Champion
maltzj
520
39k
Site-Speed That Sticks
csswizardry
0
26
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
38
1.8k
[RailsConf 2023] Rails as a piece of cake
palkan
52
4.9k
Become a Pro
speakerdeck
PRO
25
5k
Reflections from 52 weeks, 52 projects
jeffersonlam
346
20k
Making Projects Easy
brettharned
115
5.9k
Keith and Marios Guide to Fast Websites
keithpitt
409
22k
Teambox: Starting and Learning
jrom
133
8.8k

Transcript

  1. Кроссдоменная безопасность в браузере Иван Громов Фронтэндщик coins.ph

  2. Ambient Authority Ранние браузеры могли делать только GET и POST

    запросы Ambient authority — «размытые полномочия» <form action="http://bank.com/transfer.do"> <input type="hidden" name="acct" value="Bob"> <input type="hidden" name="value" value="10000"> <input type="submit" value="Earn $100 now!"> </form>

  3. Same Origin Policy Origin = протокол + домен + порт

    + IE* * политика отключена в trust zones, локальных сетях и не учитывает порт Можно ✔ Подключить ресурсы Отправить форму POST-ом ❌ Нельзя AJAX запросы Доступ к DOM (для iframe, popup)

  4. Cross Origin Resource Sharing (CORS) Simple запросы Метод: GET, POST,

    HEAD Заголовки: Accept, Accept-Language, Content-Language, Content-Type Content-Type: application/x-www-form-urlencoded, multipart/form-data, text/plain

  5. Пример CORS Preflight (Предзапрос) Предзапрос OPTIONS /resources/post/ Access-Control-Request-Method: PUT Access-Control-Request-Headers:

    X-PINGOTHER, Content-Type Ответ Access-Control-Allow-Methods: PUT, GET, OPTIONS Access-Control-Allow-Headers: X-PINGOTHER, Content-Type

  6. Заголовки ответа CORS Access-Control-Allow-Origin — [https://]example.com[:8081], *, null нельзя: site1.com

    site2.com, *.example.com, null Access-Control-Allow-Credentials — true | false нельзя с Access-Control-Allow-Origin: * Access-Control-Max-Age: 60 обязательно Vary: Origin

  7. От чего защищает CORS? — ни от чего

  8. Пример

  9. ОСТОРОЖНО, ТОНКИЙ ЛЁД!

  10. База данных class Wallet(models.Model): balance = models.DecimalField('Balance') user = models.ForeignKey('auth.User')

    class Transfer(models.Model): amount = models.DecimalField('Amount') wallet_from = models.ForeignKey('wallet.Wallet') wallet_to = models.ForeignKey('wallet.Wallet') timestamp = models.DateTimeField(auto_now_add=True)

  11. Наивное API POST /api/tx/ {"to": "user1", "amount": 1} > Access-Control-Allow-Origin:

    https://good-partner.com > {"ok": true}

  12. Наивное API POST /api/tx/ {"to": "user1", "amount": 1} > Access-Control-Allow-Origin:

    https://good-partner.com > {"ok": true} 1. В API принимайте только application/json, его нельзя послать из обычной формы 2. Используйте Сross Site Request Forgery (CSRF) токены (а в Django просто не отключайте)

  13. TokenAuthentication Подходит для Desktop, Mobile клиентов и… CORS from rest_framework.authtoken.models

    import Token token = Token.objects.create(user=request.user) $ curl -X GET http://127.0.0.1:8000/api/example/ -H 'Authorization: Token 9944b09199c62bcf9418ad846dd0e4bbdfc6ee4b'

  14. PostMessage API «...предоставляет контролируемый механизм, чтобы обойти это ограничение [SOP]

    способом, который безопасен при правильном использовании.» Mozilla Developer Network Web Docs

  15. PostMessage API Сайт партнера (основная страница) var popup = window.open("https://payment.com/iframe")

    popup.postMessage('getToken', 'https://payment.com'); Платежная система (popup/iframe) function receiveMessage(event) { if (event.origin !== "https://good-partner.com") return; } window.addEventListener("message", receiveMessage);

  16. API с токенами POST /api/token?origin=https://good-partner.com > {"token": "absdef12345"} POST /api/tx/

    {"user_to": 'user1", "amount": 1} + Token Auth > Access-Control-Allow-Origin: https://good-partner.com > Access-Control-Allow-Headers: Authorization > {"ok": true}

  17. Получение токена через iframe partner.com КУПИТЬ iframe payment.com/iframe.html 1 /token

    API Session Cookie 2 token payment.com server 3 /api/tx TokenAuthentication

  18. Авторизация через iframe partner.com КУПИТЬ iframe payment.com/iframe.html 1 /token API

    Session Cookie 2 token??? :( 3 payment.com/login.html Session Cookie, window.open 4 postMessage(“try again”)

  19. Заголовки безопасности X-Frame-Options Content Security Policy (SCP) HSTS (HTTP Strict

    Transport Security) HPKP (Public Key Pinning) SRI (Subresource Integrity) X-XSS-Protection Referrer-Policy а также — cookies: http, secure, SameSite — TFA (СМС код) — область действия токена

  20. Ссылки securityheaders.io — использует ли ваш сайт все возможные заголовки

    W3C CORS for Developers — использовал при подготовке Cure53 Browser Security White Paper — 300+ страниц про веб безопасность Understanding CSRF — статья про CSRF, как работает, зачем нужен OWASP 2017 Top 10 — рейтинг уязвимостей в вебе за прошлый год Демо — репозиторий на github с платежной системой и магазином