Огляд методів захисту Web-застосунків від вразливостей типу CSRF (міжсайтова підробка запитів)

Автор(и)

DOI:

https://doi.org/10.18372/2073-4751.71.17000

Ключові слова:

CSRF-атака, міжсайтова підробка запитів, захист інформації, Web-застосунок

Анотація

В статті представлено дослідження методів захисту Web-застосунків від вразливостей типу CSRF (міжсайтова підробка запитів). Проведене дослідження показало, що розробники Web-застосунків не приділяють достатньої уваги захисту від атак типу Міжсайтова підробка запитів, тому авторами було систематизовано та запропоновано комплекс методів захисту від CSRF-атак, та сформовано рекомендації для розробників Web-застосунків, для забезпечення комплексного захисту від CSRF-атак. Автори пропонують використовувати ряд методів, до яких відносяться: використання CSRF-токену у тілі запиту та у HTTP-заголовку, передача даних у альтернативному вигляді без використання MIME-типів класичних HTML-форм, перевірка заголовку Referer, використання атрибуту SameSite та підтвердження користувачем високочутливих операцій.

Запропоновані методи дозволять розробникам створювати безпечні Web-застосунки, які будуть невразливі до CSRF-атак.

Посилання

Prevent Cross-Site Request Forgery (XSRF/CSRF) attacks in ASP.NET Core [Електронний ресурс]. – Режим доступу: https://learn.microsoft.com/en-us/aspnet/core/security/anti-request-forgery?view=aspnetcore-6.0

G. Pellegrino, M. Johns, S. Koch, M. Backes and C. Rossow. Deemon: Detecting CSRF with dynamic analysis and property graphs, Proceedings of the 2017 ACM SIGSAC Conference on Computer and Communications Security CCS, 2017. – October 30 - November 03, 2017. – P. 1757-1771.

Likaj, Xhelal; Khodayari, Soheil; Pellegrino, Giancarlo. Where We Stand (or Fall): An Analysis of CSRF Defenses in Web Frameworks. In: 24th International Symposium on Research in Attacks, Intrusions and Defenses. – 2021. – P. 370-385.

Peguero, Ksenia; Cheng, Xiuzhen. CSRF protection in JavaScript frameworks and the security of JavaScript applications. High-Confidence Computing – 2021. – P. 1.2: 100035.

Compagna, Luca, et al. A preliminary study on the adoption and effectiveness of SameSite cookies as a CSRF defence. In: 2021 IEEE European Symposium on Security and Privacy Workshops (EuroS&PW). IEEE. – 2021. – P. 49-59.

National Vulnerability Database: CSRF statistics. [Електронний ресурс]. – Режим доступу: https://nvd.nist.gov/vuln/search/statistics?form_type=Advanced&results_type=statistics&query=CSRF&search_type=all

OWASP Cross Site Request Forgery (CSRF) [Електронний ресурс]. – Режим доступу: https://owasp.org/www-community/attacks/csrf

Reviewing Code for Cross-Site Request Forgery Issues [Електронний ресурс]. – Режим доступу: https://owasp.org/www-project-code-review-guide/reviewing-code-for-csrf-issues

Documentation for Web developers (Referer) [Електронний ресурс]. – Режим доступу: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Referer

Documentation for Web developers (Cookies) [Електронний ресурс]. – Режим доступу: https://developer.mozilla.org/en-US/docs/Web/HTTP/Cookies

Cross-Site Request Forgery Prevention Cheat Sheet [Електронний ресурс]. – Режим доступу: https://cheatsheetseries.owasp.org/cheatsheets/Cross-Site_Request_Forgery_Prevention_Cheat_Sheet.html#user-interaction-based-csrf-defense

##submission.downloads##

Опубліковано

2022-11-01

Номер

Том 3 № 71 (2022)

Розділ

Статті

Ліцензія

Автори, які публікуються у цьому журналі, погоджуються з наступними умовами:

  1. Автори залишають за собою право на авторство своєї роботи та передають журналу право першої публікації цієї роботи на умовах ліцензії Creative Commons Attribution License, котра дозволяє іншим особам вільно розповсюджувати опубліковану роботу з обов'язковим посиланням на авторів оригінальної роботи та першу публікацію роботи у цьому журналі.

  2. Автори мають право укладати самостійні додаткові угоди щодо неексклюзивного розповсюдження роботи у тому вигляді, в якому вона була опублікована цим журналом (наприклад, розміщувати роботу в електронному сховищі установи або публікувати у складі монографії), за умови збереження посилання на першу публікацію роботи у цьому журналі.

  3. Політика журналу дозволяє і заохочує розміщення авторами в мережі Інтернет (наприклад, у сховищах установ або на особистих веб-сайтах) рукопису роботи, як до подання цього рукопису до редакції, так і під час його редакційного опрацювання, оскільки це сприяє виникненню продуктивної наукової дискусії та позитивно позначається на оперативності та динаміці цитування опублікованої роботи (див. The Effect of Open Access).