banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận thâm nhập Cách kiểm tra lỗi CSRF ( Cross-Site Forgery Request )  XML
  [Question]   Cách kiểm tra lỗi CSRF ( Cross-Site Forgery Request ) 13/10/2012 21:27:49 (+0700) | #1 | 270153
Gió Lào
Member

[Minus]    0    [Plus]
Joined: 31/01/2011 04:37:02
Messages: 9
Offline
[Profile] [PM]
Mình có đọc 1 số tài liệu thì thấy cách kiểm tra website bị lỗi CSRF như sau :

- "Nếu website cho phép thực hiện các chức năng thông qua các request GET hoặc POST cố định thì có khả năng mắc lỗi CSRF. Tức là nếu mình replay lại được request POST hoặc GET trên thì có khả năng là website sẽ mắc lỗi".

Ai có thể giúp mình phân tích rõ vấn đề này không ?

Cảm ơn các bác nhiều nhiều !!!
Thân!!!
[Up] [Print Copy]
  [Question]   Cách kiểm tra lỗi CSRF ( Cross-Site Forgery Request ) 13/10/2012 23:37:17 (+0700) | #2 | 270155
[Avatar]
xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]
Bồ không hiểu chỗ nào ?
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Up] [Print Copy]
  [Question]   Cách kiểm tra lỗi CSRF ( Cross-Site Forgery Request ) 14/10/2012 00:35:41 (+0700) | #3 | 270157
Gió Lào
Member

[Minus]    0    [Plus]
Joined: 31/01/2011 04:37:02
Messages: 9
Offline
[Profile] [PM]
Em không hiểu phần các request GET và POST cố định đó anh !( cố định và không cố định là ntn ? ). Anh giúp giùm em smilie
Thân!!!
[Up] [Print Copy]
  [Question]   Cách kiểm tra lỗi CSRF ( Cross-Site Forgery Request ) 14/10/2012 08:24:04 (+0700) | #4 | 270161
kakarottbatdong
Member

[Minus]    0    [Plus]
Joined: 02/05/2009 19:27:06
Messages: 55
Offline
[Profile] [PM]
Cố định là ngày nào đó và tháng nào đó vẫn dùng 1 link cố định để cập nhật và thay đổi thông tin nào đó.
Còn không cố định là sẽ có 1 số thay đổi ở request trong mỗi lần truy cập web, ví dụ token.
[Up] [Print Copy]
  [Question]   Cách kiểm tra lỗi CSRF ( Cross-Site Forgery Request ) 19/10/2012 08:20:45 (+0700) | #5 | 270280
kakavn_85
Member

[Minus]    0    [Plus]
Joined: 16/06/2009 15:21:34
Messages: 19
Offline
[Profile] [PM] [WWW] [Yahoo!]
Lỗi này cũng khá hay nhưng ít tài liệu và demo thực tế để cho mọi người có cái nhìn tổng quan hơn.
Kinh nghiệm check lỗi CSRF
-Dùng phần mềm Burpsuite bắt Request
-Dựa vào kinh nghiệm phán đoán những chỗ có khả năng dính CSRF thường thì ở những mục Like,Vote,comment.. ở các diễn đàn
-Kết hợp với Tool Pinata để check
Người có niềm tin có thể đi qua bất kỳ phong ba bão táp nào.


[Up] [Print Copy]
  [Question]   Cách kiểm tra lỗi CSRF ( Cross-Site Forgery Request ) 19/10/2012 14:54:05 (+0700) | #6 | 270293
[Avatar]
WinDak
Researcher

Joined: 27/01/2002 11:15:00
Messages: 223
Offline
[Profile] [PM]
Học phải đi đôi với hành.
Bài tập cho bạn là hãy tìm lỗi CSRF trên chính forum này của HVA.
-- w~ --
[Up] [Print Copy]
  [Question]   Cách kiểm tra lỗi CSRF ( Cross-Site Forgery Request ) 21/10/2012 10:07:53 (+0700) | #7 | 270332
[Avatar]
xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]
Làm khó bạn rồi windak smilie HVA có csrf cũng khó mà khai thác được vì có quá nhiều giới hạn khó vượt qua
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Up] [Print Copy]
  [Question]   Cách kiểm tra lỗi CSRF ( Cross-Site Forgery Request ) 21/10/2012 10:11:55 (+0700) | #8 | 270333
[Avatar]
xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]

Gió Lào wrote:
Em không hiểu phần các request GET và POST cố định đó anh !( cố định và không cố định là ntn ? ). Anh giúp giùm em smilie 

Cố định là các request đó không có chứa các biến có giá trị thay đổi liên tục có chức năng xác định tính đơn nhất của request đó
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Up] [Print Copy]
  [Question]   Cách kiểm tra lỗi CSRF ( Cross-Site Forgery Request ) 21/10/2012 15:20:52 (+0700) | #9 | 270336
lucinda
Member

[Minus]    0    [Plus]
Joined: 15/06/2011 22:05:27
Messages: 5
Offline
[Profile] [PM]

xnohat wrote:

Gió Lào wrote:
Em không hiểu phần các request GET và POST cố định đó anh !( cố định và không cố định là ntn ? ). Anh giúp giùm em smilie 

Cố định là các request đó không có chứa các biến có giá trị thay đổi liên tục có chức năng xác định tính đơn nhất của request đó 


Làm phiền anh xnohat có thể cho em xin tài liệu nói về chức năng xác định tính đơn nhất của request đó được không ạ? Bên cạnh đó anh có thể nói chi tiết hơn được không ạ? Em cám ơn.
[Up] [Print Copy]
  [Question]   Cách kiểm tra lỗi CSRF ( Cross-Site Forgery Request ) 21/10/2012 19:43:03 (+0700) | #10 | 270339
OluS
Member

[Minus]    0    [Plus]
Joined: 11/08/2011 08:33:50
Messages: 15
Offline
[Profile] [PM]
Để tìm hiểu tính "đơn nhất" bạn bên đọc bài viết này.:

https://www.owasp.org/index.php/Cross-Site_Request_Forgery_%28CSRF%29_Prevention_Cheat_Sheet
[Up] [Print Copy]
  [Question]   Cách kiểm tra lỗi CSRF ( Cross-Site Forgery Request ) 22/10/2012 13:52:53 (+0700) | #11 | 270360
[Avatar]
WinDak
Researcher

Joined: 27/01/2002 11:15:00
Messages: 223
Offline
[Profile] [PM]

xnohat wrote:
Làm khó bạn rồi windak smilie HVA có csrf cũng khó mà khai thác được vì có quá nhiều giới hạn khó vượt qua 

=p hihi, làm khó mới ló cái khôn chứ xnohat

Thôi hỏi lùi về 1 bước vậy. Hva có cơ chế chống CSRF như thế nào ? Có ai xung phong trả lời câu này không ?
-- w~ --
[Up] [Print Copy]
  [Question]   Cách kiểm tra lỗi CSRF ( Cross-Site Forgery Request ) 22/10/2012 14:11:08 (+0700) | #12 | 270361
kakarottbatdong
Member

[Minus]    0    [Plus]
Joined: 02/05/2009 19:27:06
Messages: 55
Offline
[Profile] [PM]
Câu hỏi này đã được anh conmale trả lời ở diễn đàn này rồi
/hvaonline/posts/list/6720.html
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|