Огляд методів захисту Web-застосунків від вразливостей типу CSRF (міжсайтова підробка запитів)

Автор(и)

DOI:

https://doi.org/10.18372/2073-4751.71.17000

Ключові слова:

CSRF-атака, міжсайтова підробка запитів, захист інформації, Web-застосунок

Анотація

В статті представлено дослідження методів захисту Web-застосунків від вразливостей типу CSRF (міжсайтова підробка запитів). Проведене дослідження показало, що розробники Web-застосунків не приділяють достатньої уваги захисту від атак типу Міжсайтова підробка запитів, тому авторами було систематизовано та запропоновано комплекс методів захисту від CSRF-атак, та сформовано рекомендації для розробників Web-застосунків, для забезпечення комплексного захисту від CSRF-атак. Автори пропонують використовувати ряд методів, до яких відносяться: використання CSRF-токену у тілі запиту та у HTTP-заголовку, передача даних у альтернативному вигляді без використання MIME-типів класичних HTML-форм, перевірка заголовку Referer, використання атрибуту SameSite та підтвердження користувачем високочутливих операцій.

Запропоновані методи дозволять розробникам створювати безпечні Web-застосунки, які будуть невразливі до CSRF-атак.

Посилання

Prevent Cross-Site Request Forgery (XSRF/CSRF) attacks in ASP.NET Core [Електронний ресурс]. – Режим доступу: https://learn.microsoft.com/en-us/aspnet/core/security/anti-request-forgery?view=aspnetcore-6.0

G. Pellegrino, M. Johns, S. Koch, M. Backes and C. Rossow. Deemon: Detecting CSRF with dynamic analysis and property graphs, Proceedings of the 2017 ACM SIGSAC Conference on Computer and Communications Security CCS, 2017. – October 30 - November 03, 2017. – P. 1757-1771.

Likaj, Xhelal; Khodayari, Soheil; Pellegrino, Giancarlo. Where We Stand (or Fall): An Analysis of CSRF Defenses in Web Frameworks. In: 24th International Symposium on Research in Attacks, Intrusions and Defenses. – 2021. – P. 370-385.

Peguero, Ksenia; Cheng, Xiuzhen. CSRF protection in JavaScript frameworks and the security of JavaScript applications. High-Confidence Computing – 2021. – P. 1.2: 100035.

Compagna, Luca, et al. A preliminary study on the adoption and effectiveness of SameSite cookies as a CSRF defence. In: 2021 IEEE European Symposium on Security and Privacy Workshops (EuroS&PW). IEEE. – 2021. – P. 49-59.

National Vulnerability Database: CSRF statistics. [Електронний ресурс]. – Режим доступу: https://nvd.nist.gov/vuln/search/statistics?form_type=Advanced&results_type=statistics&query=CSRF&search_type=all

OWASP Cross Site Request Forgery (CSRF) [Електронний ресурс]. – Режим доступу: https://owasp.org/www-community/attacks/csrf

Reviewing Code for Cross-Site Request Forgery Issues [Електронний ресурс]. – Режим доступу: https://owasp.org/www-project-code-review-guide/reviewing-code-for-csrf-issues

Documentation for Web developers (Referer) [Електронний ресурс]. – Режим доступу: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Referer

Documentation for Web developers (Cookies) [Електронний ресурс]. – Режим доступу: https://developer.mozilla.org/en-US/docs/Web/HTTP/Cookies

Cross-Site Request Forgery Prevention Cheat Sheet [Електронний ресурс]. – Режим доступу: https://cheatsheetseries.owasp.org/cheatsheets/Cross-Site_Request_Forgery_Prevention_Cheat_Sheet.html#user-interaction-based-csrf-defense

##submission.downloads##

Опубліковано

2022-11-01

Як цитувати

Олійник, Я., & Мельниченко, П. (2022). Огляд методів захисту Web-застосунків від вразливостей типу CSRF (міжсайтова підробка запитів). Проблеми iнформатизацiї та управлiння, 3(71), 28–34. https://doi.org/10.18372/2073-4751.71.17000

Номер

Том 3 № 71 (2022)

Розділ

Статті

Ліцензія

Науковий журнал дотримується принципів відкритого доступу (Open Access) та забезпечує вільний, негайний і постійний доступ до всіх опублікованих матеріалів без фінансових, технічних або юридичних обмежень для читачів.

Усі статті публікуються у відкритому доступі відповідно до ліцензії Creative Commons Attribution 4.0 International (CC BY 4.0).

Авторські права

Автори, які публікують свої роботи в журналі:

  • зберігають за собою авторські права на свої публікації;

  • надають журналу право на перше опублікування статті;

  • погоджуються на поширення матеріалів за ліцензією CC BY 4.0;

  • мають право повторно використовувати, архівувати та поширювати свої роботи (у тому числі в інституційних та тематичних репозитаріях) за умови посилання на первинну публікацію в журналі.