CSRF တိုက်ခိုက်ရေးဆိုင်ရာမဟာဗျူဟာနှင့်အကောင်အထည်ဖော်မှုနည်းလမ်းအသေးစိတ်ရှင်းပြချက်

CSRF တိုက်ခိုက်ရေးမဟာဗျူဟာနှင့်အကောင်အထည်ဖော်မှုနည်းလမ်း

ကွန်ရက်နည်းပညာ၏စဉ်ဆက်မပြတ်ဖွံ့ဖြိုးတိုးတက်မှုနှင့်အတူကွန်ရက်လုံခြုံရေးအန္တရာယ်များလည်းတိုးများလာခဲ့သည်။ ကွင်းလယ်ကစားစကားတောင်းဆိုခြင်း (CSRF) တိုက်ခိုက်မှုများသည်လက်ရှိအင်တာနက်အပလီကေးရှင်းများနှင့်ရင်ဆိုင်နေရသည့်အဓိကခြိမ်းခြောက်မှုများအနက်မှတစ်ခုဖြစ်သည်။ ဤဆောင်းပါးသည် CSRF တိုက်ခိုက်မှုများ၏အခြေခံနိယာမများသာမကအသုံးများသောကာကွယ်ရေးနည်းစနစ်များကိုမိတ်ဆက်ပေးပြီးအသုံးပြုသောကာကွယ်ရေးနည်းစနစ်များကိုမိတ်ဆက်ပေးလိမ့်မည်။

CSRF တိုက်ခိုက်မှုနိယာမ

CSRF တိုက်ခိုက်မှုများသည်အသုံးပြုသူ၏ authenticated session ကို အသုံးပြု. အန္တရာယ်ရှိသောလုပ်ဆောင်မှုများပြုလုပ်ရန်အသုံးပြုသည်။ တိုက်ခိုက်သူသည်အသုံးပြုသူအားအန္တရာယ်ရှိသောလင့်များကိုနှိပ်ခြင်းသို့မဟုတ်အန္တရာယ်ရှိသောဝက်ဘ်ဆိုက်များသို့ 0 င်ရောက်ရန်, အသုံးပြုသူသည်ယုံကြည်စိတ်ချရသော 0 ဘ်ဆိုဒ်ပေါ်တွင်အောင်မြင်စွာမှတ်တမ်းတင်ပြီးစစ်မှန်ကြောင်းအတည်ပြုသည့်အခါဘရောက်ဇာသည်တောင်းဆိုမှုကိုပေးပို့သည့်အခါ browser သည်တောင်းဆိုမှုကိုပေးပို့သည့်အခါကသက်ဆိုင်ရာအထောက်အထားအထောက်အထားများကိုအလိုအလျောက်သယ်ဆောင်သွားလိမ့်မည်။

ကာကွယ်ရေးမဟာဗျူဟာ

(1) homologous ရှာဖွေတွေ့ရှိ

Homology Detection သည် CSRF တိုက်ခိုက်မှုများကိုကာကွယ်ရန်ဘုံနည်းလမ်းများအနက်မှတစ်ခုဖြစ်သည်။ တောင်းဆိုမှု၏အရင်းအမြစ်နှင့်ပစ်မှတ်လိပ်စာသည်တူညီသောဒိုမိန်းအမည်နှင့်သက်ဆိုင်ခြင်းရှိမရှိကိုနှိုင်းယှဉ်ခြင်းအားဖြင့်တောင်းဆိုမှုကိုတရားဝင်မှုကိုစီရင်ဆုံးဖြတ်သည်။ server ကို server ဘက်တွင်စစ်ဆေးမှုကိုပြုလုပ်သည်။ Source Domain Name နှင့် Target Domain Name သည်ကိုက်ညီမှုရှိလျှင်တောင်းဆိုမှုကိုပယ်ချခဲ့သည်။

နမူနာကုဒ်:

@Rrequestmping ("/ လွှဲပြောင်းခြင်း")
ပြည်သူ့ string transfermoney (httpservle -uequest တောင်းဆိုမှု) {
    string online = request.getaader ("Defer"),
    string target = request.getservername ();
    လျှင် (! မူလ.equals (target)) {
        "တရားမဝင်တောင်းဆိုချက်" ကိုပြန်ပို့ပါ။
    }
    // စီးပွားရေးယုတ္တိဗေဒအပြောင်းအလဲနဲ့ ...
    "လွှဲပြောင်းအောင်မြင်ရန်" ပြန်လာ "
}

(2) CSRF တိုကင်ထည့်ပါ

CSRF Token ထည့်သွင်းခြင်းသည်အသုံးများသောကာကွယ်ရေးနည်းလမ်းများအနက်မှတစ်ခုဖြစ်သည်။ ဆာဗာသည် HTML စာမျက်နှာကိုပြန်ပို့သောအခါ၎င်းသည်ထူးခြားသောလက္ခဏာများကိုထုတ်ပေးပြီး၎င်းကိုပုံစံထဲသို့ထည့်ပြီး client ကို client ကိုပေးပို့သည်။ ပုံစံကိုတင်ပြသည့်အခါ, ဆာဗာသည်တိုကင်ပွဲများကိုစစ်ဆေးသည်။ မကိုက်ညီပါကတောင်းဆိုမှုကိုပယ်ချခဲ့သည်။

နမူနာကုဒ်:

@Rrequestmping ("/ လွှဲပြောင်းခြင်း")
အများပြည်သူ string transfermonemone (httpservleqest တောင်းဆိုမှု, @refquestParam ("CSRFTORAPPARAM) string string csrftoken) {
    httpsession session = တောင်းဆိုမှု။
    stringedtoked storeedtoked = (string) session.gettribute ("csrfted");
    (! csrftoke.quals (သိုလှောင်မှု)) {
        "မမှန်ကန်သောလက်ခဏာသက်သေ" ကိုပြန်သွားပါ။
    }
    // စီးပွားရေးယုတ္တိဗေဒအပြောင်းအလဲနဲ့ ...
    "လွှဲပြောင်းအောင်မြင်ရန်" ပြန်လာ "
}

(3) ထပ်တူပြုခြင်းတောင်းဆိုခြင်းနှင့်ပြတ်တောင်းပြတ်တောင်းတောင်းဆိုမှုကို

asynchronous တောင်းဆိုမှုများသည်ဆာဗာသို့တောင်းဆိုမှုများကိုစာမျက်နှာကိုလန်းဆန်းစေပြီး, ထို့ကြောင့်အထိခိုက်မခံသောစစ်ဆင်ရေးများပါ 0 င်သောတောင်းဆိုမှုများအတွက်ဆာဗာနှင့်ပိုမိုယုံကြည်စိတ်ချရသော session ကိုဖွင့်ရန် synchronous တောင်းဆိုမှုများကိုအသုံးပြုရန်အကောင်းဆုံးဖြစ်သည်။

အကောင်အထည်ဖော်မှုနည်းလမ်း

(1) တောင်းဆိုမှု၏အရင်းအမြစ်ကိုစစ်ဆေးပြီး homologous ရှာဖွေတွေ့ရှိမှုကိုထည့်ပါ

Backend 0 န်ဆောင်မှုတွင်တောင်းဆိုသူ header ၏ defer header field ကိုရယူခြင်းအားဖြင့်၎င်းသည်နောက်ခံယုတ္တိဗေဒအပေါ် အခြေခံ. တရားဝင်မှုရှိမရှိဆုံးဖြတ်သည်။ တောင်းဆိုမှုအရင်းအမြစ်သည်ပစ်မှတ်နှင့်မကိုက်ညီပါကတောင်းဆိုမှုကိုငြင်းပယ်သည်။

နမူနာကုဒ်:

@Rrequestmping ("/ လွှဲပြောင်းခြင်း")
ပြည်သူ့ string transfermoney (httpservle -uequest တောင်းဆိုမှု) {
    string online = request.getaader ("Defer"),
    string target = request.getservername ();
    လျှင် (! မူလ.equals (target)) {
        "တရားမဝင်တောင်းဆိုချက်" ကိုပြန်ပို့ပါ။
    }
    // စီးပွားရေးယုတ္တိဗေဒအပြောင်းအလဲနဲ့ ...
    "လွှဲပြောင်းအောင်မြင်ရန်" ပြန်လာ "
}

(2) CSRF တိုကင်ထည့်ပါ

HTML စာမျက်နှာများကိုရှေ့ဆုံးသို့ပို့သောအခါထူးခြားသောလက်ခဏာသက်သေတစ် ဦး သည်ပုံစံဖြင့်ဖန်တီးပြီး embedded သို့မဟုတ် classie အဖြစ် client သို့ပို့သည်။ ရှေ့တန်းအဆုံးသည်တောင်းဆိုမှုကိုတင်ပြသည့်အခါ၎င်းသည် Token ကိုဆာဗာသို့ပို့သည်။ ဒီဆာဗာသည်တိုကင်ပွဲများနှင့်တောင်းဆိုမှု၏တရားဝင်မှုကိုတရားစီရင်သည်ကိုဆာဗာကစစ်ဆေးသည်။

နမူနာကုဒ်:

@Rrequestmping ("/ လွှဲပြောင်းခြင်း")
အများပြည်သူ string transfermonemone (httpservleqest တောင်းဆိုမှု, @refquestParam ("CSRFTORAPPARAM) string string csrftoken) {
    httpsession session = တောင်းဆိုမှု။
    stringedtoked storeedtoked = (string) session.gettribute ("csrfted");
    (! csrftoke.quals (သိုလှောင်မှု)) {
        "မမှန်ကန်သောလက်ခဏာသက်သေ" ကိုပြန်သွားပါ။
    }
    // စီးပွားရေးယုတ္တိဗေဒအပြောင်းအလဲနဲ့ ...
    "လွှဲပြောင်းအောင်မြင်ရန်" ပြန်လာ "
}

အကျဉ်းချုပ်

CSRF တိုက်ခိုက်မှုများသည်ဘုံနှင့်အန္တရာယ်ရှိသောတိုက်ခိုက်မှုတစ်ခုဖြစ်သော်လည်းထိရောက်သောကာကွယ်ရေးနည်းဗျူဟာအချို့သည်သင်၏လျှောက်လွှာ၏လုံခြုံရေးကိုတိုးတက်စေနိုင်သည်။ ဤဆောင်းပါးသည်အသုံးများသောကာကွယ်ရေးနည်းလမ်းများ, homologous ရှာဖွေတွေ့ရှိမှုနှစ်ခုကိုမိတ်ဆက်ပေးသည်။ လျှောက်လွှာများကိုတီထွင်သောအခါသင့်လျော်သောကာကွယ်ရေးဆိုင်ရာမူဝါဒများကိုတိကျသောအခြေအနေများအပေါ် အခြေခံ. ရွေးချယ်ထားပြီးအသုံးပြုသူအချက်အလက်များ၏လုံခြုံရေးကိုသေချာစွာအကောင်အထည်ဖော်သင့်သည်။