forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Рейтинг самых опасных ошибок, зафиксированных в 2009 году, opennews (?), 17-Фев-10, (0) [смотреть все]

Анализ был составлен по данным статистики обновлений безопасности MS Windows XP-, Zenitur (?), 23:13 , 17-Фев-10, (1) –4 //

Угу А установка SElinux делает Windows намного безопаснее Там немалая часть уязв, XoRe (ok), 23:22 , 17-Фев-10, (2) //

Вы забыли про сотни обновлений для IE, WMP и NET Достаточно окинуть взглядом с, Zenitur (?), 00:56 , 18-Фев-10, (5) –2 //

С этим я не спорю Я просто хочу указать ваше внимание, что все эти уязвимости не, XoRe (ok), 10:08 , 18-Фев-10, (18)
И какие сотни обновлений была для поддерживаемых на сегодня ОС MS В 2009 году V, Трухин_Юрий_Владимирович (ok), 12:19 , 20-Фев-10, (64)

Вы тогда либо в поиске только ядро Linux выбирайте с минимальными GUI, либо все , Аноним (-), 20:18 , 20-Фев-10, (65)

Только по ядру Linux 38 уязвимостей только в ядре за 2009 год Это без всяк, Трухин_Юрий_Владимирович (ok), 22:09 , 20-Фев-10, (67)

Посмотрите на усердно вами цитируемом secunia степень опасности этих уязвимостей, Глеб В (?), 23:49 , 20-Фев-10, (70) +1

28 дыр дающих удаленно права администратора и 135 Cross Site Scriptirng дыр в we, Глеб В (?), 20:22 , 20-Фев-10, (66)

какие веб-приложения в настольных системах читайте внимательно, Трухин_Юрий_Владимирович (ok), 22:10 , 20-Фев-10, (68)

это все я пишу в ответ на заявления человека о многих сотнях дыр в виндах в 2009, Трухин_Юрий_Владимирович (ok), 22:11 , 20-Фев-10, (69)

Вы ссылались на статистику по числу дыр в Red Hat, а не только в настольных прил, Глеб В (?), 23:52 , 20-Фев-10, (71)

Часть из этих ошибок 8212 причина порочной практики программирования, которая, Tav (ok), 23:39 , 17-Фев-10, (3) +6 //

хорошо сказано , Cobold (??), 00:51 , 18-Фев-10, (4) //

А Oracle не хочет приобрести php , vbv (ok), 02:49 , 18-Фев-10, (8)

которая связанна с использованием непоследовательного и непродуманного языка , Deffic (?), 02:48 , 18-Фев-10, (7) +1 //

самая больная проблема в PHP -- это mod_php , который ПООЩРЯЕТ помещщение и вып, polymorphm1 (ok), 03:40 , 18-Фев-10, (12) +1
Проблема не в SQL Все нормальные API для работы с SQL работают так запрос с па, Tav (ok), 10:42 , 18-Фев-10, (22) //

эта норма пришла скорее от mysql, потому что там изначально небыло компиляции за, Cobold (??), 11:50 , 18-Фев-10, (26)
А если логика запроса посложнее и состоит из 100 вложений инъекций и поведени, Deffic (?), 12:19 , 18-Фев-10, (29)

Это значит, что вам следует пересмотреть модель данных Если подобные запросы вс, Tav (ok), 14:22 , 18-Фев-10, (38)

Все бы было хорошо если бы плейсхолдеры можно было применять в любой части запро, thirteensmay (?), 13:25 , 18-Фев-10, (35)

Имя таблицы 8212 это данные пришедшие из вне Если такое часто нужно, у вас к, Tav (ok), 14:27 , 18-Фев-10, (39)

Нет никаких проблем с моделью данных, есть необходимость динамического построени, thirteensmay (?), 14:50 , 18-Фев-10, (41)

Это все-таки не обычное использование БД, исключение, а не норма Речь о том, чт, Tav (ok), 15:34 , 18-Фев-10, (43) +1

Вот с этим не могу не согласится Моя же речь про то что эти исключительные случ, thirteensmay (?), 16:03 , 18-Фев-10, (45)
Позвольте не согласиться - это как раз НОРМА Если у Вас база нормализована, то п, Deffic (?), 18:25 , 18-Фев-10, (51)
Ошибаетесь Это давно уже норма Время, когда все можно было сделать запросами в, AlexAT (ok), 13:47 , 12-Май-10, (73)

А вот смотрите, не в защиту перла а просто как сравнение на перле с базой работ, Cobold (??), 14:57 , 18-Фев-10, (42)

И на перл можно каждый раз собирать строку запроса, препарить ее а потом исполня, thirteensmay (?), 15:40 , 18-Фев-10, (44)

я не о том что на перле это невозможно, я о том что там в отличии от php при раб, Cobold (??), 17:29 , 18-Фев-10, (47)

а я вам про то что я например, при освоении DBI был весьма озадачен таким подход, thirteensmay (?), 18:35 , 18-Фев-10, (52)

а по поводу безопасности - всё зависит от вашей клиентской группы, в некоторых м, Cobold (??), 17:39 , 18-Фев-10, (49)

это всеже не мэйнстрим, в основном то ПО впаривается, посмотрите на туже винду и, thirteensmay (?), 18:04 , 18-Фев-10, (50)

смешивание html-кода и программной логики Можете это хот как-то обосновать,, Deffic (?), 02:51 , 18-Фев-10, (9) //

Ну ведь действительно так и есть Смешивание неправильно по сути , Ян Злобин (?), 03:34 , 18-Фев-10, (10) +1 //

Неправильно - смешивание данных и кода А смешивание кода и кода - это вопрос вку, Deffic (?), 03:50 , 18-Фев-10, (13) –2

код коду рознь txt-файл это тоже своего рода КОД программа например при печа, polymorphm1 (ok), 04:06 , 18-Фев-10, (15) +3

Текстовый файл не содержит инструкций, которые нужно выполнить в идеале t n, Deffic (?), 04:35 , 18-Фев-10, (16) –1

http ru wikipedia org wiki Управляющий_символсюрприз , Аноним (-), 09:30 , 18-Фев-10, (17) +1

Специалисты меня порвали , Deffic (?), 11:25 , 18-Фев-10, (24)

Ваше imho нам понятно В качестве точки зрения могу указать на темы skins , шабл, XoRe (ok), 10:26 , 18-Фев-10, (20)

Есть мнение что впендюривание новых шаблонов и тем - туфта гламурных домохозяек,, thirteensmay (?), 12:42 , 18-Фев-10, (32) –2

Это противоречит архитектурному шаблону Model 8211 View 8211 Controller, затру, Tav (ok), 11:00 , 18-Фев-10, (23) //

а сколько господ даже здесь рассуждают о языке без намёка на MVC в своих текстах, Cobold (??), 12:03 , 18-Фев-10, (27)

MVC никто не отменял , Deffic (?), 12:23 , 18-Фев-10, (30)

НеMVC тоже , thirteensmay (?), 12:51 , 18-Фев-10, (33)

Согласен Фанатизм - Зло , Deffic (?), 12:57 , 18-Фев-10, (34)

я скорее о том что очень многие php программисты или о нём совсем не знают, или , Cobold (??), 14:29 , 18-Фев-10, (40)

А вы даже для HelloWorld готовы юзать MVC , AlexAT (ok), 13:50 , 12-Май-10, (74)

это верно причём код на PHP можно писать довольно надёжно, но выглядеть такой, polymorphm1 (ok), 03:57 , 18-Фев-10, (14) +1 //

gt оверквотинг удален php name_arg stripslashes _GET name href htm, XoRe (ok), 10:34 , 18-Фев-10, (21) //

gt оверквотинг удален Смешиваем код с html , Deffic (?), 11:47 , 18-Фев-10, (25)
не потомучто смотрите как вы называете свои переменные href -- это например h, polymorphm1 (ok), 03:20 , 20-Фев-10, (62)

больше всего нанавижу что люди разработчики функциональных web-страниц -- недо, polymorphm1 (ok), 03:35 , 18-Фев-10, (11) //

А чем перехват и подмена кук и ip отличается от подмены HTTP_REFERER , thirteensmay (?), 12:15 , 18-Фев-10, (28) //

От подмены IP защитит протокол TCP IP если вы не внедрились в канал связи Пере, Аноним (-), 12:35 , 18-Фев-10, (31) //

В т ч может быть сформирован запрос с необходимым HTTP_REFERER И для этого да, thirteensmay (?), 13:31 , 18-Фев-10, (36)

Нет Или это дыра в браузере Может быть запрос любой страницы или любого действ, Аноним (-), 16:36 , 18-Фев-10, (46)

Какая дыра в браузере Запрос отправляется не из браузера а с сайта злоумышленн, thirteensmay (?), 17:36 , 18-Фев-10, (48)

Нет Из браузера Referer сайт злоумышленника Куку не перехватили Всё работает, Аноним (-), 19:04 , 18-Фев-10, (53)

Цитирую Referer может подменить клиент, все правильно, но не клиент обычного пол, thirteensmay (?), 19:33 , 18-Фев-10, (54)

Не нужен Засветит откуда пришёл Злосайту это не важно Referer может подменить к, Аноним (-), 19:57 , 18-Фев-10, (55)

За тем злоклиент на злосайте и нужен чтобы отправить запрос с подмененным рефере, thirteensmay (?), 20:44 , 18-Фев-10, (56)

Отправлять запрос злосайт не будет Он показывает страницу Реферер формируется б, Аноним (-), 21:17 , 18-Фев-10, (57)

Да злосайт сайтом называется только ради красоты, обычная машинка с доступом к с, thirteensmay (?), 21:39 , 18-Фев-10, (58)
Нет Ради определённости Нужны термины для ведения дискуссии Да Нет И то и друг, Аноним (-), 22:13 , 18-Фев-10, (59)
Ооо кажись понял, автор имел ввиду использование его кук в рамках понятия CSRF, thirteensmay (?), 22:32 , 18-Фев-10, (60) –1
Да , Аноним (-), 22:40 , 18-Фев-10, (61)
да так - давно меня небыло на этом обсуждении, извеняюсь - просто когда я го, polymorphm1 (ok), 03:37 , 20-Фев-10, (63)

Распечатать и большим плакатом в программерских развесить для альтернативноодаре, luzers (?), 14:14 , 18-Фев-10, (37)
админам составьте пожалуйста ПОЛНЫЙ список из инета, обязательно по категорям я, gHg (?), 09:15 , 04-Июл-11, (75)

Сообщения [Сортировка по времени | RSS]

31. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" +/–

Сообщение от Аноним (-), 18-Фев-10, 12:35

От подмены IP защитит протокол TCP/IP. (если вы не внедрились в канал связи)
Перехват кук так же не возможен при тех же условиях. (нужно хотя бы чтение канала связи)
А для действий от вашего имени на любом сайте, пусть даже защищённом https. Достаточно, чтобы вы перешли по ссылке. А там за вас будет сформирован и отправлен любой запрос, имитирующий любое ваше действие.

Ответить | Правка | Наверх | Cообщить модератору

36. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" +/–

Сообщение от thirteensmay (?), 18-Фев-10, 13:31

В т.ч. может быть сформирован запрос с необходимым HTTP_REFERER ? И для этого даже не придется прослушивать канал связи ?

Ответить | Правка | Наверх | Cообщить модератору

46. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" +/–

Сообщение от Аноним (-), 18-Фев-10, 16:36

>В т.ч. может быть сформирован запрос с необходимым HTTP_REFERER ?
Нет. Или это дыра в браузере. Может быть запрос любой страницы или любого действия на странице другого сайта. Вполне штатная функция. Блокируется лишь там где это явно необходимо.
>И для этого даже не придется прослушивать канал связи ?
Да. Не придется.

Ответить | Правка | Наверх | Cообщить модератору

48. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" +/–

Сообщение от thirteensmay (?), 18-Фев-10, 17:36

Какая дыра в браузере ? Запрос отправляется не из браузера а с сайта злоумышленника. Я не понимаю почему человек считает что если у него перехватили куку то он сможет защититься реферером, он же в плане безопасности по сравнению с куками сопля полная, светиться всем.

Ответить | Правка | Наверх | Cообщить модератору

53. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" +/–

Сообщение от Аноним (-), 18-Фев-10, 19:04

>Запрос отправляется не из браузера а с сайта злоумышленника.
Нет. Из браузера. Referer: сайт злоумышленника.
Куку не перехватили. Всё работает и отправляется стандартно.
Referer может подменить клиент, но не другой сайт. В плане безопасности проверка Referer необходима, чтобы удостовериться, что клиент сам выполняет действие.

Ответить | Правка | Наверх | Cообщить модератору

54. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" +/–

Сообщение от thirteensmay (?), 18-Фев-10, 19:33

> Куку не перехватили
Цитирую:
> например напишут от твоего имени сообщение на форуме opennet.ru оскорбительного содержания, а ты потом доказывай кому хочешь что просто-навсего opennet.ru не проверяет испочник (HTTP_REFERER) POST-запроса, а следовательно запрос мог быть присланным с ЛЮБОГО другого подставного сайта, но с использованием МОИХ Cookie и моего ip
Referer может подменить клиент, все правильно, но не клиент обычного пользователя а клиент установленный на сайте злоумышленника, когда пользователь попадет на злосайт он засветит там свой referer, да вобщем то его и так легко подставить, мы же знаем какой сайт атакуем, тогда referer ничего не даст, запрос от злоклиента придет с правильным реферером, а вот у честного пользователя он поменяется и его запросы будут отвергнуты.
или чего я непонимаю ?

Ответить | Правка | Наверх | Cообщить модератору

55. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" +/–

Сообщение от Аноним (-), 18-Фев-10, 19:57

>клиент установленный на сайте злоумышленника
Не нужен.
>когда пользователь попадет на злосайт он засветит там свой referer
Засветит откуда пришёл. Злосайту это не важно.
>да вобщем то его и так легко подставить
Referer может подменить клиент, но не другой сайт.
>мы же знаем какой сайт атакуем
Да.
>тогда referer ничего не даст
Нет. Даст. Он даст адрес страницы злосайта, на которой пользователю предложили/заставили совершить действие.
>запрос от злоклиента придет с правильным реферером
Нет.
>а вот у честного пользователя он поменяется и его запросы будут отвергнуты.
Нет. Пользователь всегда честный. Совершить действие с сайтом ему может предложить сам сайт или злосайт. В первом случае сработает, во втором не сработает.
>чего я непонимаю ?
Суть.

Ответить | Правка | Наверх | Cообщить модератору

56. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" +/–

Сообщение от thirteensmay (?), 18-Фев-10, 20:44

> Referer может подменить клиент, но не другой сайт
> клиент установленный на сайте злоумышленника Не нужен
За тем злоклиент на злосайте и нужен чтобы отправить запрос с подмененным реферером
> запрос от злоклиента придет с НЕ правильным реферером
Почему ? мыж его ручками подправим
> Реферер даст адрес страницы злосайта, на которой пользователю предложили/заставили совершить действие.
Реферер пользователя после посещения злосайта да, но он нас уже не интересует, пользователь отработан, со злосайта из злоклиента уже ушел запрос на атакуемый сайт с "правильными" параметрами
> Пользователь всегда честный
Да, но его честь можно украсть
Какой сути я не понимаю ? что именно не сработает в предложенной схеме ?

Ответить | Правка | Наверх | Cообщить модератору

57. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" +/–

Сообщение от Аноним (-), 18-Фев-10, 21:17

>За тем злоклиент на злосайте и нужен чтобы отправить запрос с подмененным реферером
Отправлять запрос злосайт не будет. Он показывает страницу.
>Почему ? мыж его ручками подправим
Реферер формируется браузером пользователя, а не страницей и не скриптом на ней.
>Реферер пользователя после посещения злосайта да, но он нас уже не интересует, пользователь отработан, со злосайта из злоклиента уже ушел запрос на атакуемый сайт с "правильными" параметрами
Нет. Не имеет смысла. Злосайт не имеет такого же доступа на сайт, как пользователь.
>Да, но его честь можно украсть
Да.
>Какой сути я не понимаю ?
Cross-Site Request Forgery (CSRF)
>что именно не сработает в предложенной схеме ?
Нет доступа к сайту (логина/пароля), неизвестны куки, другой ip.

Ответить | Правка | Наверх | Cообщить модератору

58. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" +/–

Сообщение от thirteensmay (?), 18-Фев-10, 21:39

>Отправлять запрос злосайт не будет. Он показывает страницу.
>Реферер формируется браузером пользователя, а не страницей и не скриптом на ней.
Да злосайт сайтом называется только ради красоты, обычная машинка с доступом к сети и "специализированными" скриптами, HTTP сервера там может и не быть, главное чтобы он слушал команды злоумышленника и мог формировать произвольные HTTP запросы, это не сложно, ну если уж совсем хочется то можно и HTTP сервер прикрутить и перехватывать рефереры пользователей, но это уже не суть. Вот я и предлагаю чтобы когда надо этот злоклиент отправил запрос с необходимыми параметрами на атакуемый сайт.
>Злосайт не имеет такого же доступа на сайт, как пользователь
>Нет доступа к сайту (логина/пароля), неизвестны куки, другой ip.
В том то и дело что известны, цитирую автора еще раз:
>с использованием МОИХ Cookie и моего ip
Он предполагает что куки уже перехвачены, а также имеется возможность подставить ip, и после этого предлагает защищаться реферером, а вот этого я уже не понимаю. И вообще, ведь далеко не каждый сайт подразумевает авторизацию (куки) и уж тем более проверку ip.

Ответить | Правка | Наверх | Cообщить модератору

59. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" +/–

Сообщение от Аноним (-), 18-Фев-10, 22:13

>Да злосайт сайтом называется только ради красоты
Нет. Ради определённости. Нужны термины для ведения дискуссии.
>обычная машинка с доступом к сети и "специализированными" скриптами
Да.
>HTTP сервера там может и не быть
Нет.
>главное чтобы он слушал команды злоумышленника и мог формировать произвольные HTTP запросы
И то и другое не нужно.
>это не сложно
Да.
>ну если уж совсем хочется то можно и HTTP сервер прикрутить и перехватывать рефереры пользователей
Не требуется.
>но это уже не суть
Да.
>Вот я и предлагаю чтобы когда надо этот злоклиент отправил запрос с необходимыми параметрами на атакуемый сайт.
Нет доступа к сайту (логина/пароля), неизвестны куки, другой ip.
>В том то и дело что известны, цитирую автора еще раз:
Автор пишет об использовании его Cookie и ip. Он не уточнил известны они злосайту или нет.
>Он предполагает что куки уже перехвачены, а также имеется возможность подставить ip
Нет. Он думает иначе.
>и после этого предлагает защищаться реферером
Да.
>а вот этого я уже не понимаю
Да.
>И вообще, ведь далеко не каждый сайт подразумевает авторизацию (куки) и уж тем более проверку ip.
Да. Доступ к ним злоумышленник может получить не применяя этот тип атаки. Она предназначена для сайтов, на которые необходимо так или иначе войти с авторизацией, прежде чем осуществлять какие-либо действия.

Ответить | Правка | Наверх | Cообщить модератору

60. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" –1 +/–

Сообщение от thirteensmay (?), 18-Фев-10, 22:32

Ооо ! кажись понял, автор имел ввиду использование его кук в рамках понятия CSRF, т.е. не их перехват и запрос с подставного сайта, а склонение пользовательского браузера к отправке запроса на оригинальный сайт но с измененными параметрами, не теми что ввел пользователь. Т.е. автор просто неверно сформулировал часть предложения, вместо:
>запрос мог быть присланным с ЛЮБОГО другого подставного сайта, но с использованием МОИХ Cookie и моего ip
следовало бы написать чтото типа:
>запрос мог быть выполнен из моего браузера, но с подставными параметрами, и естественно с моими Cookie и ip
так ???

Ответить | Правка | К родителю #59 | Наверх | Cообщить модератору

61. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" +/–

Сообщение от Аноним (-), 18-Фев-10, 22:40

>так ???
Да.

Ответить | Правка | К родителю #60 | Наверх | Cообщить модератору

63. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году" +/–

Сообщение от polymorphm1 (ok), 20-Фев-10, 03:37

> так ???
да так :-)
давно меня небыло на этом обсуждении, извеняюсь :-(..

просто когда я говорил что "запрос придёт с сайта" -- я не конкретизировал кто конкретно его будет посылать (www-browser или www-server) ,
....потомучто сайт он же не только на сервере -- но и на моём [клиентским]компьютере: javascript`ы сайта например обрабатываются моим [клиентским]процессором (чего кстате не делается на сервере) , HTML и CSS рисуются тоже моим [клиентским]процессором , ды даже сама картинка сайта -- показывается на моём [клиентским]мониторе :-)
..такчто неподумал что моя формулировка "отправить с сайта" может когото ввергнуть в смуту (что ктото подумает что сайт это ТОЛЬКО то что работает на www-server)
простите :-(

Ответить | Правка | К родителю #60 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	31. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году"	+/–
	Сообщение от Аноним (-), 18-Фев-10, 12:35
	От подмены IP защитит протокол TCP/IP. (если вы не внедрились в канал связи) Перехват кук так же не возможен при тех же условиях. (нужно хотя бы чтение канала связи) А для действий от вашего имени на любом сайте, пусть даже защищённом https. Достаточно, чтобы вы перешли по ссылке. А там за вас будет сформирован и отправлен любой запрос, имитирующий любое ваше действие.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	36. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году"	+/–
	Сообщение от thirteensmay (?), 18-Фев-10, 13:31
	В т.ч. может быть сформирован запрос с необходимым HTTP_REFERER ? И для этого даже не придется прослушивать канал связи ?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	46. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году"	+/–
	Сообщение от Аноним (-), 18-Фев-10, 16:36
	>В т.ч. может быть сформирован запрос с необходимым HTTP_REFERER ? Нет. Или это дыра в браузере. Может быть запрос любой страницы или любого действия на странице другого сайта. Вполне штатная функция. Блокируется лишь там где это явно необходимо. >И для этого даже не придется прослушивать канал связи ? Да. Не придется.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	48. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году"	+/–
	Сообщение от thirteensmay (?), 18-Фев-10, 17:36
	Какая дыра в браузере ? Запрос отправляется не из браузера а с сайта злоумышленника. Я не понимаю почему человек считает что если у него перехватили куку то он сможет защититься реферером, он же в плане безопасности по сравнению с куками сопля полная, светиться всем.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	53. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году"	+/–
	Сообщение от Аноним (-), 18-Фев-10, 19:04
	>Запрос отправляется не из браузера а с сайта злоумышленника. Нет. Из браузера. Referer: сайт злоумышленника. Куку не перехватили. Всё работает и отправляется стандартно. Referer может подменить клиент, но не другой сайт. В плане безопасности проверка Referer необходима, чтобы удостовериться, что клиент сам выполняет действие.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	54. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году"	+/–
	Сообщение от thirteensmay (?), 18-Фев-10, 19:33
	> Куку не перехватили Цитирую: > например напишут от твоего имени сообщение на форуме opennet.ru оскорбительного содержания, а ты потом доказывай кому хочешь что просто-навсего opennet.ru не проверяет испочник (HTTP_REFERER) POST-запроса, а следовательно запрос мог быть присланным с ЛЮБОГО другого подставного сайта, но с использованием МОИХ Cookie и моего ip Referer может подменить клиент, все правильно, но не клиент обычного пользователя а клиент установленный на сайте злоумышленника, когда пользователь попадет на злосайт он засветит там свой referer, да вобщем то его и так легко подставить, мы же знаем какой сайт атакуем, тогда referer ничего не даст, запрос от злоклиента придет с правильным реферером, а вот у честного пользователя он поменяется и его запросы будут отвергнуты. или чего я непонимаю ?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	55. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году"	+/–
	Сообщение от Аноним (-), 18-Фев-10, 19:57
	>клиент установленный на сайте злоумышленника Не нужен. >когда пользователь попадет на злосайт он засветит там свой referer Засветит откуда пришёл. Злосайту это не важно. >да вобщем то его и так легко подставить Referer может подменить клиент, но не другой сайт. >мы же знаем какой сайт атакуем Да. >тогда referer ничего не даст Нет. Даст. Он даст адрес страницы злосайта, на которой пользователю предложили/заставили совершить действие. >запрос от злоклиента придет с правильным реферером Нет. >а вот у честного пользователя он поменяется и его запросы будут отвергнуты. Нет. Пользователь всегда честный. Совершить действие с сайтом ему может предложить сам сайт или злосайт. В первом случае сработает, во втором не сработает. >чего я непонимаю ? Суть.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	56. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году"	+/–
	Сообщение от thirteensmay (?), 18-Фев-10, 20:44
	> Referer может подменить клиент, но не другой сайт > клиент установленный на сайте злоумышленника Не нужен За тем злоклиент на злосайте и нужен чтобы отправить запрос с подмененным реферером > запрос от злоклиента придет с НЕ правильным реферером Почему ? мыж его ручками подправим > Реферер даст адрес страницы злосайта, на которой пользователю предложили/заставили совершить действие. Реферер пользователя после посещения злосайта да, но он нас уже не интересует, пользователь отработан, со злосайта из злоклиента уже ушел запрос на атакуемый сайт с "правильными" параметрами > Пользователь всегда честный Да, но его честь можно украсть Какой сути я не понимаю ? что именно не сработает в предложенной схеме ?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	57. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году"	+/–
	Сообщение от Аноним (-), 18-Фев-10, 21:17
	>За тем злоклиент на злосайте и нужен чтобы отправить запрос с подмененным реферером Отправлять запрос злосайт не будет. Он показывает страницу. >Почему ? мыж его ручками подправим Реферер формируется браузером пользователя, а не страницей и не скриптом на ней. >Реферер пользователя после посещения злосайта да, но он нас уже не интересует, пользователь отработан, со злосайта из злоклиента уже ушел запрос на атакуемый сайт с "правильными" параметрами Нет. Не имеет смысла. Злосайт не имеет такого же доступа на сайт, как пользователь. >Да, но его честь можно украсть Да. >Какой сути я не понимаю ? Cross-Site Request Forgery (CSRF) >что именно не сработает в предложенной схеме ? Нет доступа к сайту (логина/пароля), неизвестны куки, другой ip.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	58. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году"	+/–
	Сообщение от thirteensmay (?), 18-Фев-10, 21:39
	>Отправлять запрос злосайт не будет. Он показывает страницу. >Реферер формируется браузером пользователя, а не страницей и не скриптом на ней. Да злосайт сайтом называется только ради красоты, обычная машинка с доступом к сети и "специализированными" скриптами, HTTP сервера там может и не быть, главное чтобы он слушал команды злоумышленника и мог формировать произвольные HTTP запросы, это не сложно, ну если уж совсем хочется то можно и HTTP сервер прикрутить и перехватывать рефереры пользователей, но это уже не суть. Вот я и предлагаю чтобы когда надо этот злоклиент отправил запрос с необходимыми параметрами на атакуемый сайт. >Злосайт не имеет такого же доступа на сайт, как пользователь >Нет доступа к сайту (логина/пароля), неизвестны куки, другой ip. В том то и дело что известны, цитирую автора еще раз: >с использованием МОИХ Cookie и моего ip Он предполагает что куки уже перехвачены, а также имеется возможность подставить ip, и после этого предлагает защищаться реферером, а вот этого я уже не понимаю. И вообще, ведь далеко не каждый сайт подразумевает авторизацию (куки) и уж тем более проверку ip.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	59. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году"	+/–
	Сообщение от Аноним (-), 18-Фев-10, 22:13
	>Да злосайт сайтом называется только ради красоты Нет. Ради определённости. Нужны термины для ведения дискуссии. >обычная машинка с доступом к сети и "специализированными" скриптами Да. >HTTP сервера там может и не быть Нет. >главное чтобы он слушал команды злоумышленника и мог формировать произвольные HTTP запросы И то и другое не нужно. >это не сложно Да. >ну если уж совсем хочется то можно и HTTP сервер прикрутить и перехватывать рефереры пользователей Не требуется. >но это уже не суть Да. >Вот я и предлагаю чтобы когда надо этот злоклиент отправил запрос с необходимыми параметрами на атакуемый сайт. Нет доступа к сайту (логина/пароля), неизвестны куки, другой ip. >В том то и дело что известны, цитирую автора еще раз: Автор пишет об использовании его Cookie и ip. Он не уточнил известны они злосайту или нет. >Он предполагает что куки уже перехвачены, а также имеется возможность подставить ip Нет. Он думает иначе. >и после этого предлагает защищаться реферером Да. >а вот этого я уже не понимаю Да. >И вообще, ведь далеко не каждый сайт подразумевает авторизацию (куки) и уж тем более проверку ip. Да. Доступ к ним злоумышленник может получить не применяя этот тип атаки. Она предназначена для сайтов, на которые необходимо так или иначе войти с авторизацией, прежде чем осуществлять какие-либо действия.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	60. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году"	–1 +/–
	Сообщение от thirteensmay (?), 18-Фев-10, 22:32
	Ооо ! кажись понял, автор имел ввиду использование его кук в рамках понятия CSRF, т.е. не их перехват и запрос с подставного сайта, а склонение пользовательского браузера к отправке запроса на оригинальный сайт но с измененными параметрами, не теми что ввел пользователь. Т.е. автор просто неверно сформулировал часть предложения, вместо: >запрос мог быть присланным с ЛЮБОГО другого подставного сайта, но с использованием МОИХ Cookie и моего ip следовало бы написать чтото типа: >запрос мог быть выполнен из моего браузера, но с подставными параметрами, и естественно с моими Cookie и ip так ???
	Ответить \| Правка \| К родителю #59 \| Наверх \| Cообщить модератору


	61. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году"	+/–
	Сообщение от Аноним (-), 18-Фев-10, 22:40
	>так ??? Да.
	Ответить \| Правка \| К родителю #60 \| Наверх \| Cообщить модератору


	63. "Рейтинг самых опасных ошибок, зафиксированных в 2009 году"	+/–
	Сообщение от polymorphm1 (ok), 20-Фев-10, 03:37
	> так ??? да так :-) давно меня небыло на этом обсуждении, извеняюсь :-(.. просто когда я говорил что "запрос придёт с сайта" -- я не конкретизировал кто конкретно его будет посылать (www-browser или www-server) , ....потомучто сайт он же не только на сервере -- но и на моём [клиентским]компьютере: javascript`ы сайта например обрабатываются моим [клиентским]процессором (чего кстате не делается на сервере) , HTML и CSS рисуются тоже моим [клиентским]процессором , ды даже сама картинка сайта -- показывается на моём [клиентским]мониторе :-) ..такчто неподумал что моя формулировка "отправить с сайта" может когото ввергнуть в смуту (что ктото подумает что сайт это ТОЛЬКО то что работает на www-server) простите :-(
	Ответить \| Правка \| К родителю #60 \| Наверх \| Cообщить модератору