A cross-site request forgery, más néven one-click attack, session riding, rövidítve CSRF vagy XSRF (magyar fordításban kb. oldalon-keresztüli kéréshamisítás), egy exploittípus, ahol a weboldalaknak küldenek nem-autorizált parancsot a felhasználóként, amelyben megbízik az oldal.[1] A cross-site scripting-gel (XSS) ellentétben, amely a felhasználó weboldalba vetett bizalmát használja ki, a CSRF a weboldal a felhasználóba (és böngészőjébe) vetett bizalmát.
Háttere
A CSRF támadhatóságok ismertek és néhány esetben kihasználtak, 2001 óta.[2] Mivel ezeket egy felhasználó IP-címéről hajtják végre, néhány weboldal-log nem rendelkezik a CSRF-re utaló bizonyítékokkal.[1] A CSRF exploitokat ritkán jelentetik meg, legalábbis nyilvánosan, 2007-ben[3] alig pár jól dokumentált példa volt. Az eBayInternet Auction Co.-jának körülbelül 18 millió felhasználója Koreában az Auction.co.kr -en személyes információkat vesztett el 2008 februárjában[4] egy CSRF támadás miatt. Egy mexikói bank ügyfeleit 2008 elején e-mailben támadták, egy kép linkjével. A képben levő link kicserélte az ADSL routerükben a bank DNS-ét egy, a bankot utánzó hamisított weboldaléra.[5]
Példák és karakterisztikák
A támadás alapja egy olyan link vagy szkript weboldalba ágyazása, amely elér egy oldalt, ahol a felhasználó biztosan (vagy sejthetően) be van jelentkezve.[6] Példának okáért az egyik felhasználó, Bob, böngészhet egy fórumot, ahol egy másik felhasználó, Fred, elküldött egy üzenetet. Tegyük fel, hogy Fred kialakított egy HTML img (kép) elemet, amely Bob bankjának a weboldalán egy cselekvésre mutat (egy képfájl helyett), például:
Ha Bob az autentikációt egy HTTP-sütiben tartja, továbbá ha az a süti még nem járt le, abban az esetben Bob webböngészőjének kísérlete a kép betöltésére el fogja küldeni az átutalást a sütijével, ezáltal engedélyez egy tranzakciót Bob valódi engedélye nélkül.
Az alábbi karakterisztikák gyakoriak a cross-site request forgery esetében:
Olyan oldalakat vonnak be, amelyeknél a felhasználónak van online identitása
Kihasználja a weboldalt, hogy megbízik az identitásban
A felhasználó böngészőjében a céloldalra történő HTTP-kérések küldését éri el
Olyan HTTP kéréseket von be, melyeknek negatív oldalaik vannak
Az olyan webalkalmazások vannak kockázatban, amelyek a megbízhatónak tartott és autentikált felhasználók esetleges hozzájárulása nélkül követnek el nevükben cselekvéseket, nem ellenőrizve, hogy a felhasználó cselekedett-e. Egy olyan felhasználó, akinek adatait egy sütiben tárolja a weboldal és azzal is autentikálja őt, a tudta nélkül küldhet HTTP lekéréseket egy weboldalnak, amely megbízik benne és ezáltal nem kívánt cselekvést érhet el.
A CSRF támadásokat gyakorta az img (kép) HTML-elem src (forrás) címkéjén keresztül, internetes fórumokból követik el, ahol a felhasználók posztolhatnak képet, de JavaScriptet nem.
A CSRFtámadásokat gyakran az XSS támadásokkal párban használják ki, amely által a CSRF támadásokat még veszélyesebbé tehetik. Egy XSS sebezhetőség létezése igencsak gyakran lehetővé teszi a létező CSRF-ellenes cselekvések nagy részének megkerülését. Ilyen példákat ít lr az "XSS & CSRF: Practical exploitation of post-authentication vulnerabilities in web applications" publikáció.[7]
Limitációk
Számos dolognak egyszerre teljesülnie kell ahhoz, hogy a cross-site request forgery végrehajtódjon és sikeres legyen:
A támadónak egy olyan weboldalt kell támadnia, amely vagy nem ellenőrzi a referer fejrészt (amely gyakori) vagy egy olyan áldozatot találnia, amely böngészőbeli vagy kiegészítőbeli sebezhetőség miatt engedi a referrer spoofing-ot (ez ritkább).
A támadónak a céloldalon muszáj találnia egy űrlapbeküldést vagy egy negatív oldalakkal rendelkező URL-t, amely valamit csinál (például pénzt utal vagy megváltoztatja az áldozat e-mailcímét és jelszavát).
A támadónak az űrlap vagy az URL inputjainak minden értékét helyesen meg kell határoznia; ha bármelyik is szükséges titkos autentikációs értékként, vagy IDként, amit a támadó nem tud megtippelni, a támadás nem lesz sikeres.
A támadónak az áldozatot olyan oldalra kell csalnia, amely tartalmazza a veszélyes kódot, miközben az áldozat bejelentkezett a céloldalra.
Megjegyzendő, hogy a támadás "vak", azaz a támadó nem látja, hogy az áldozatnak a weboldal mit küld vissza a lekérésre válaszul, hacsak nem használ ki egy cross-site scripting (XSS) sebezhetőséget avagy egy másik bugot a cél weboldalon. Hasonlóan, a támadó csak olyan az eredeti hamisított kérés után megjelenő linkeket vagy űrlapelküldéseket támadhat meg, amelyek hasonlóan kiszámíthatók, mint az eredeti hamisított kérés. (További célok vezethetők be több kép használatával az oldalon vagy pedig egy, a "kattintások" közti késleltetést létrehozó JavaScript-tel.)
Ezen kényszerek miatt a támadónak nehézsége lehet a bejelentkezett áldozatok vagy támadható űrlap-bejegyzések megtalálására. Ezzel ellentétben viszont a támadások könnyen megvalósíthatók, láthatatlanok az áldozatok számára, továbbá az alkalmazásprogramozók kevésbé ismerik a CSRF támadásokat, így kevésbé is felkészültek rájuk, mint, példának okáért a jelszókkal kapcsolatos szótárakat használó támadásokra.
Súlyosság
A United States Department Of Homeland Security adatai alapján a legsúlyosabb CSRF sebezhetőség, amire valaha is rábukkantak a 909. a szoftverekben található bugok között a súlyosság rangsorában, amely ezt a legtöbb túlcsordulásos támadásnál súlyosabbá teszi.[8] Más súlyossági méréseket kiadtak olyan CSRF támadásokra, amely távoli kódfuttatást tesz lehetővé, root jogokkal,[9] továbbá olyat is, amely tanúsítványokat hamisít, ezáltal egyes nyilvános kulcsú infrastruktúrákat aláás.[10]
Bejelentkezési lekérések
Egy támadó elérheti, hogy az áldozat bejelentkezzen egy weboldalra a támadó adataival, ez az úgynevezett login CSRF. A login CSRF számos új támadást tesz lehetővé, például a támadó a későbbiekben bejelentkezhet a valódi adataival és megnézhet olyan privát információkat, mint például a felhasználóra mentett aktivitási történet.[11] A támadást a YouTube-on demonstrálták.[12]
Más megközelítések
Amíg a CSRF-et tipikusan mint egy statikus támadás írják le, a CSRF létrejöhet dinamikusan, egy cross-site scripting támadás payload-jaként, ahogy a Samy féreg demonstrálta, avagy létrejöhet töltődés közben, a weboldalon kívüli tartalom által szivárogtatott session információkkal és a célt egy támadó linkre irányíthatja. A CSRF tokeneket egy kliensnek többféle sebezhetőségen keresztül, de akár brute-force támadáson keresztül is küldhetnek,[13] amelyet egy támadó weboldalon renderelhetnek, akár több ezer sikertelen lekérés küldésével. A "Dynamic CSRF" (dinamikus CSRF) támadásosztály, továbbá a kliensalapú payload használata a session-specifikus hamisításhoz 2009-ben lett leírva Nathan Hamiel és Shawn Moyer által, a BlackHat Breifings-en.[14][15]
Megakadályozás
A különböző internethasználók, akik a különböző webböngészők változatlan verzióit használják, keveset tehetnek a CSRF támadások ellen. A weboldalakról való kijelentkezés és az "emlékezzen rám" opciók elkerülése csökkentheti a CSRF veszélyét, továbbá a külső képek kikerülése és a spamekben vagy nem megbízható forrású e-mailekben található linkek klikkelésének megakadályozása is segíthet.
A különböző böngészőkiegészítők, mint a RequestPolicy (Mozilla Firefox böngészőhöz) megakadályozhatják a CSRF-et egy alapértelmezett engedélyezés-tiltás szabállyal az oldalon-túli kérésekkel. Mindazonáltal ez számos weboldal normális működését is megakadályozhatja. A CsFire kiegészítő (szintúgy Firefox böngészőhöz) csökkentheti a CSRF hatását, kevesebb beavatkozással a böngészésbe, az oldalak közti kérésekből az autentikációs információk eltávolításával.
A weboldalaknak számos CSRF-ellenes intézkedése lehet:
Egy specifikus, kizárólagosan felhasznál-specifikus token kérése minden űrlapelküldésnél és linkben, ami miatt a támadó weboldala nem tudja a helyes tokent adni a CSRF inputoknál[6]
A klienstől való autentikációs adat kérése minden HTTP-lekérésben, amely biztonsági problémákat vethet fel (így például a pénzátutalás)
A session-sütik megmaradási idejének limitálása
A HTTP Referer fejrész és/vagy a HTTP Origin fejrész ellenőrzése[16]
Annak biztosítása, hogy nincs clientaccesspolicy.xml fájl, ami nemkívánt hozzáférést adhat a Silverlightnak[17]
Annak biztosítása, hogy nincs crossdomain.xml fájl, ami nemkívánt hozzáférést adhat a Flashnek[18]
Annak ellenőrzése, hogy a fejrész tartalmaz egy X-Requested-With fejrészt. Ezt a Ruby on Rails (a v2.0 előtt) és a Django (v1.2.5 előtt) tartalmazza. Ezen védelem bizonyítottan nem biztonságos[19] megfelelő böngészőpluginek és átirányítások alkalmazásával a támadó létrehozhat egyéni HTTP-fejrészeket, amely ezáltal engedélyezi a cross-site request forgery bekövetkezését.
Egy egyszerű és hatékony eljárás a CSRF megakadályozására egy CSRF filter használata, például az OWASP CSRFGuard-é. A filter elfogja a HTTP válaszokat, detektálja, hogy HTML-dokumentumok-e, és egy titkos tokent ad az űrlapokhoz, továbbá opcionálisan beilleszt szkripteket és AJAX függvényeket. A filter továbbá a lekéréseket is elfogja, annak ellenőrzésére, hogy jelen van-e a token.
Egy változat erre a JavaScripttel rendelkező felhasználók számára a sütik kétszeri elküldése. Ha egy autentikációs sütit a JavaScript olvas az elküldés előtt, a JavaScript szigorúbb (és jobb) crossdomain szabályai (same-origin policy) lépnek érvénybe. Ha a szerveren szükségesek lekérések, ahol az autentikációs sütit a POST lekérések body-jában vagy a veszélyes GET lekérések URL-jében tárolják, akkor a kérésnek megbízható domainról kell érkeznie, hiszen más domainek nem tudják a sütit beolvasni a megbízó domainben.
A HTTP Referer fejrész ellenőrzése, hogy a lekérés megbízható forrásból érkezik-e is egy gyakori módszer, hiszen nem növeli a memóriakövetleményeket. Mindazonáltal egy lekérés, mely egy Referer-t kiad, nem tekinthető autorizáltnak, hiszen a támadó a Referer-t "elnyomhatja" az FTP-n vagy HTTPS URL-eken keresztüli lekérésekkel. Ez a szigorú Referer problémákat okozhat olyan böngészőkben, amelyek nem adják ki a Referer fejrészt biztonsági okokból. Továbbá a Flash régi (9.0.18 előtti verziói) megengedik a támadó Flash fájlnak a HTTP Referer header létrehozását CRLF Injection használatával. Hasonló CLRF-befecskendezéses támadásokat használnak a kliensekben a "referer spoofing"-ra.
A hamisított bejelentkezési lekérések ellen a weboldalak szintén ezen CSRF-ellenes intézkedéseket használhatják, még akár mielőtt a felhasználó bejelentkezett volna.
A jelentékeny biztonság-szükséglettel rendelkező weboldalak, mint például a bankok a felhasználót például 15 perc után kiléptethetik.
A HTTP által meghatározott GET és POST használat felhasználása, amelyben a GET lekérések nem rendelkeznek permanens behatással jó gyakorlat, de nem akadályozza meg a CSRF-et. A támadók írhatnak JavaScriptet vagy ActionScriptet, amely láthatatlanul elküldi a támadást a céldomainre.[6]
A Cross-site scripting (XSS) sebezhetőségek (még más, azonos domainen futó alkalmazásoknál is) lehetővé teszik a támadóknak a CSRF-védelmek megkerülését.[20]
Ez a szócikk részben vagy egészben a Cross-site request forgery című angol Wikipédia-szócikk fordításán alapul. Az eredeti cikk szerkesztőit annak laptörténete sorolja fel. Ez a jelzés csupán a megfogalmazás eredetét és a szerzői jogokat jelzi, nem szolgál a cikkben szereplő információk forrásmegjelöléseként.