Cisco-bulletin over toegepaste beperking-
Cross-site request forery (CSRF) aanvallen richten zich doorgaans op webtoepassingen. CSRF-aanvallen kunnen onbevoegde wijzigingen in gebruikersinformatie of extractie van gebruikersgevoelige gegevens uit een webtoepassing omvatten.
CSRF maakt gebruik van social engineering om een gebruiker ervan te overtuigen een link te openen die, wanneer verwerkt door de betreffende webapplicatie, kan resulteren in willekeurige code-uitvoering. CSRF-explosiecode kan op een weblocatie worden opgeslagen (bijvoorbeeld een opgeslagen CSRF) in een frame/beeld met één pixel of kan een component van een CSRF-exploit zijn. Wanneer verwerkt, kon de verbinding CSRF de aanvaller toestaan om willekeurige verzoeken via de beïnvloede webtoepassing met de voorrechten van de gebruiker in te dienen. De oorsprong van CSRF-aanvallen is moeilijk te identificeren met behulp van traceback-methoden. De methodes van sociale techniek kunnen de identiteit van de aanvaller verbergen omdat de server het verzoek als een wettig verzoek van de gebruiker behandelt.
Voorbeeld
Er zijn talloze voorbeelden van CSRF-aanvallen, maar de meest voorkomende is een bankoverschrijving. Neem bijvoorbeeld aan dat de human resources-afdeling van bedrijf X een webportaal gebruikt dat de salarisinformatie van de werknemers van het bedrijf actualiseert. Om dat proces uit te voeren, moet de afdeling Personeelszaken het volgende invullen: authenticeren voor de webapplicatie, doorgaan naar het loonsgebied van de portal, en een formulier invullen met de naam van de medewerker en het bedrag van de verhoging. Nadat de voorgaande stappen zijn voltooid, moet de gebruiker op de knop Verzenden drukken om het formulier te verwerken en de wijziging te voltooien. Stel dat het ingediende formulier bestemd was voor een medewerker genaamd John Doe die een opslag van US$100 dollar heeft gekregen, dit zal het volgende HTTP POST verzoek genereren:
POST http://hr.companyX-internal.com/raisesalary.do HTTP/1.1 ... ... ... usr=JohnDoe&amount=100Afhankelijk van de applicatie kan er een case bestaan waar de browser al een geldige geverifieerde sessie heeft (browsercookie). Als de human resources web applicatie een geldige authenticatiesessie heeft, dan zal dezelfde actie (bijvoorbeeld salarisverhoging) worden uitgevoerd met het volgende HTTP GET verzoek:
GET http://hr.companyX-internal.com/raisesalary.do?usr=JohnDoe&amount=100 HTTP/1.1Het bovenstaande verzoek kan worden gedaan door een link te bezoeken en een HTTP GET aanvraag uit te voeren. De browser hoeft geen formulier in te dienen.
De human resources web applicatie, beschreven in het bovenstaande voorbeeld, is gevoelig voor CSRF aanvallen. Een gebruiker (bijvoorbeeld John Doe) kan proberen zijn salaris met US$500 te verhogen zonder toegang te hebben tot de toepassing, maar kan een werknemer in de human resources afdeling overtuigen om een link te openen of een HTTP-iframe te laden dat wordt omgeleid naar een schadelijke link (bijvoorbeeld http://hr.companyX-internal.com/raisesalary.do?usr=JohnDoe&amount=500). Zodra de medewerker is geverifieerd door de human resources applicatie (bijvoorbeeld, midden dag), is de enige vereiste om de human resources medewerker te overtuigen om de link te bezoeken.
-
Cross-site request forery (CSRF) aanvallen richten zich doorgaans op webtoepassingen. De aanvaller probeert toegang te krijgen tot gevoelige informatie en onbevoegde wijzigingen aan te brengen in gebruikersgegevens van een webapplicatie door een gebruiker te overtuigen om een verzoek voor een webapplicatie uit te voeren.
-
Gebruikersonderwijs en bewustmakingstraining voor beveiliging
Om het risico op CSRF-aanvallen te verminderen, is het raadzaam om veilige browstechnieken te bespreken. De aanvallers gebruiken web-based e-mail als een vector CSRF, of door ingebedde scripting of kwaadaardige verbindingen die in de exploitatie van CSRF resulteren. Een basislijnstrategie dient uit het volgende te bestaan:
- De gebruikers wordt geadviseerd e-mailberichten niet te openen uit verdachte of niet-herkende bronnen. Als gebruikers niet kunnen verifiëren dat links in e-mailberichten veilig zijn, wordt hun aangeraden om ze niet te openen.
- Gebruikers worden aangemoedigd om de muis over de link te hangen om te zien waar de link naartoe wordt geleid voordat ze op de link klikken of deze selecteren.
- Controleer de koppelingen voor het gebruik van verdachte tekens.
- Aanbevolen wordt twee verschillende browsers te gebruiken. De ene dient te dienen als een vertrouwde site browser en de andere voor casual web surfen. Wanneer een link in een e-mail of van een socialenetwerkwebsite wordt geselecteerd, moet de browser die wordt gebruikt voor casual websurfen worden gebruikt om ervoor te zorgen dat er geen geldige cookies bestaan voor een op CSRF gebaseerde aanval.
- Gebruikers moeten voorzichtig zijn met links die een login vereisen om te authenticeren. (bijvoorbeeld banken of de human resources website die in het bovenstaande voorbeeld wordt beschreven)
- Wees wantrouwig ten opzichte van te lange links.
- Toegang alleen tot websites die afkomstig zijn van bekende en vertrouwde locaties. Als de gebruiker zich zorgen maakt, neem dan onmiddellijk contact op met de webmaster en het bedrijf dat de website host.
- Ongevraagde e-mailberichten verwijderen of in onbewerkte tekst lezen om de uitvoering van schadelijke code te voorkomen.
Safe Web Application Development Practices
Het gebruik van veilige ontwerp- en ontwikkelingspraktijken bij het ontwerpen van webapplicaties vermindert het risico op het maken van applicaties die gevoelig zouden kunnen zijn voor CSRF-aanvallen. Enkele veilige ontwerp- en ontwikkelingspraktijken omvatten:
- Voor elke gebruikerssessie of verzoek, voeg onvoorspelbare uitdaging tokens toe. Deze methode zorgt ervoor dat elk verzoek wordt geverifieerd dat de gebruiker de bron en niet een CSRF-link is.
- Controleer indien mogelijk of een aanvraag is ingediend door de site zelf of door een verzoek van een andere site door de HTTP-verwijzerkop te controleren.
- Gebruik aangepaste HTTP-headers. De Google Web Toolkit raadt bijvoorbeeld aan een X-CSRF-Cookieheader te koppelen aan XMLHttpRequets, die bescherming kan bieden tegen CSRF-aanvallen.
Cisco-apparaten
Door de aard van de CSRF-aanvallen is het moeilijk om de bedoeling van een specifieke URL te identificeren (bijvoorbeeld een salarisverhoging die in het bovenstaande voorbeeld wordt beschreven). Hierdoor is de identificatie van een kwaadaardig verzoek niet altijd mogelijk tussen de gebruiker en de server. De beste tegenmaatregelen om CSRF-aanvallen te verzachten zijn veilige praktijken voor de ontwikkeling van webapplicaties en voorlichting aan gebruikers. Cisco-beveiligingsproducten (bijvoorbeeld Cisco Ironport Web Security Appliances, Cisco ACE Web Application Firewall) kunnen een bepaald niveau van bescherming bieden, voornamelijk tegen objecten die kwaadaardige verzoeken genereren. Daarnaast kunnen enkele algemene bescherming tegen cross-site Scripting die HTTP-cookies en HTTP referrer-headers valideren, fungeren als verzachting tegen CSRF-aanvallen.
-
Organisaties wordt aangeraden hun standaardprocessen voor risicobeoordeling en risicobeperking te volgen om de mogelijke gevolgen van deze kwetsbaarheid te bepalen. Triage verwijst naar het sorteren van projecten en het prioriteren van inspanningen die waarschijnlijk het meest succesvol zullen zijn. Cisco heeft documenten geleverd die organisaties kunnen helpen bij de ontwikkeling van een op risico gebaseerde triagecapaciteit voor hun informatieveiligheidsteams. Risico Triage voor Security Vulnerability aankondigingen en Risk Triage en Prototyping kunnen organisaties helpen herhaalbare security evaluatie- en reactieprocessen te ontwikkelen.
-
Waarschuwing: de effectiviteit van elke mitigatietechniek hangt af van specifieke klantsituaties, zoals productmix, netwerktopologie, verkeersgedrag en organisatorische missie. Zoals bij elke configuratiewijziging, evalueer het effect van deze configuratie voordat u de wijziging toepast.
CSRF kan niet eenvoudig worden onderscheiden van legitieme webverzoeken, maar er zijn Cisco-producten die enige bescherming kunnen bieden tegen CSRF-aanvallen.
Cisco IronPort Web Reputation Filters systeem omvat botsite bescherming, URL uitbraakdetectie en exploit filtering die gebruikers beschermt tegen exploits geleverd door cross-site scripting (XSS), cross-site request forgery (CSRF), SQL injecties of onzichtbare iFrames. De kracht achter de reputatietechnologie is afgeleid van de patroon-gebaseerde beoordelingstechnieken van het systeem en per object scanning mogelijkheden. Raadpleeg voor meer informatie de website van Cisco IronPort Web Reputation Technology.
Het beleid van de Firewall van de Toepassing van ACE kan worden gebruikt om systemen tegen dwars-site het scripting te beschermen en om vervalsingsaanvallen te verzoeken door het koekje en verwijzende gebied in de HTTP- kopbal te bevestigen. Raadpleeg de handleiding voor het verkrijgen van start voor de firewall voor Cisco ACE-webtoepassingen voor meer informatie.
Cisco Inbraakpreventiesysteem (IPS) biedt bescherming tegen CSRF-aanvallen. De volgende lijst bevat informatie over IPS-handtekeningen (Cisco IPS Signature Update versie S704) die kunnen worden gebruikt tegen recente CSRF-bedreigingen (maart 2013):
- 1398/08 - Microsoft Outlook Web Access Cross-site verzoek vervalsing kwetsbaarheid
- 1881/2000 - D-Link DSL-2640B Redpass.CGI cross-site verzoek vervalsing kwetsbaarheid
- 1930/00 - WordPress Cross Site Aanvraag Vervalbaarheid
-
DIT DOCUMENT WORDT AANGEBODEN OP EEN ‘AS IS’-BASIS EN IMPLICEERT GEEN ENKEL SOORT GARANTIE, MET INBEGRIP VAN GARANTIES VAN VERKOOPBAARHEID OF GESCHIKTHEID VOOR EEN BEPAALD DOEL. UW GEBRUIK VAN DE INFORMATIE IN HET DOCUMENT OF DE MATERIALEN GEKOPPELD AAN HET DOCUMENT IS GEHEEL OP EIGEN RISICO. CISCO BEHOUDT ZICH HET RECHT VOOR OM DIT DOCUMENT TE ALLEN TIJDE TE WIJZIGEN OF TE ANNULEREN.
-
Minder tonen
-
Volledige informatie over het melden van beveiligingskwetsbaarheden in Cisco-producten, het verkrijgen van assistentie bij beveiligingsincidenten en het registreren om beveiligingsinformatie van Cisco te ontvangen, is beschikbaar op de wereldwijde website van Cisco op https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html. Dit omvat instructies voor persvragen over Cisco-beveiligingsmeldingen. Alle Cisco-beveiligingsadviezen zijn beschikbaar op http://www.cisco.com/go/psirt.
-
De beveiligingskwetsbaarheid is van toepassing op de volgende combinaties van producten.
Primaire producten Cisco-software Cisco Web Security applicatie (WSA) 7.1 (.0, .1, .2, .3, .4) | 7,5 ( 0,0-000,1-000) | 7,7 ( 0,0-000) Cisco e-mail security applicatie (ESA) 7.1 (.0, .1, .2, .3, .4, .5) | 7,3 ( 0,0, 0,1, 0,2) | 7,5 ( 3,0, 1,2) | 7,6 ( 0,0, 0,1-000, 0,2) Cisco Content Security Management-applicatie (SMA) 7,2 (,0, .1, .2) | 7,7 ( 0,0, 0,1) | 7,9 ( 0,0, 0,1)
Verwante producten
-
DIT DOCUMENT WORDT AANGEBODEN OP EEN ‘AS IS’-BASIS EN IMPLICEERT GEEN ENKEL SOORT GARANTIE, MET INBEGRIP VAN GARANTIES VAN VERKOOPBAARHEID OF GESCHIKTHEID VOOR EEN BEPAALD DOEL. UW GEBRUIK VAN DE INFORMATIE IN HET DOCUMENT OF DE MATERIALEN GEKOPPELD AAN HET DOCUMENT IS GEHEEL OP EIGEN RISICO. CISCO BEHOUDT ZICH HET RECHT VOOR OM WAARSCHUWINGEN TE ALLEN TIJDE TE WIJZIGEN OF BIJ TE WERKEN.
Een standalone kopie of parafrase van de tekst van dit document die de distributie-URL weglaat, is een ongecontroleerde kopie en kan belangrijke informatie missen of feitelijke fouten bevatten. De informatie in dit document is bedoeld voor eindgebruikers van Cisco-producten