| [Question] Cách kiểm tra lỗi CSRF ( Cross-Site Forgery Request ) |
13/10/2012 21:27:49 (+0700) | #1 | 270153 |
Gió Lào
Member
![[Minus]](/hvaonline/templates/viet/images/minus.gif "[Minus]") |
0 |
![[Plus]](/hvaonline/templates/viet/images/plus.gif "[Plus]")
|
|
Joined: 31/01/2011 04:37:02
Messages: 9
Offline
|
|
Mình có đọc 1 số tài liệu thì thấy cách kiểm tra website bị lỗi CSRF như sau :
- "Nếu website cho phép thực hiện các chức năng thông qua các request GET hoặc POST cố định thì có khả năng mắc lỗi CSRF. Tức là nếu mình replay lại được request POST hoặc GET trên thì có khả năng là website sẽ mắc lỗi".
Ai có thể giúp mình phân tích rõ vấn đề này không ?
Cảm ơn các bác nhiều nhiều !!! |
|
| Thân!!! |
|
 |
|
| [Question] Cách kiểm tra lỗi CSRF ( Cross-Site Forgery Request ) |
13/10/2012 23:37:17 (+0700) | #2 | 270155 |
![[Avatar]](/hvaonline/images/avatar/4dd20f1e87dfb889bc97230e2c87c6a5.png "[Avatar]")
|
xnohat
Moderator
|
Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
|
|
|
|
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline |
|
|
|
| [Question] Cách kiểm tra lỗi CSRF ( Cross-Site Forgery Request ) |
14/10/2012 00:35:41 (+0700) | #3 | 270157 |
Gió Lào
Member
|
|
0 |
|
|
Joined: 31/01/2011 04:37:02
Messages: 9
Offline
|
|
Em không hiểu phần các request GET và POST cố định đó anh !( cố định và không cố định là ntn ? ). Anh giúp giùm em  |
|
| Thân!!! |
|
|
|
| [Question] Cách kiểm tra lỗi CSRF ( Cross-Site Forgery Request ) |
14/10/2012 08:24:04 (+0700) | #4 | 270161 |
Cố định là ngày nào đó và tháng nào đó vẫn dùng 1 link cố định để cập nhật và thay đổi thông tin nào đó.
Còn không cố định là sẽ có 1 số thay đổi ở request trong mỗi lần truy cập web, ví dụ token. |
|
|
|
|
| [Question] Cách kiểm tra lỗi CSRF ( Cross-Site Forgery Request ) |
19/10/2012 08:20:45 (+0700) | #5 | 270280 |
kakavn_85
Member
|
|
0 |
|
|
Joined: 16/06/2009 15:21:34
Messages: 19
Offline
|
|
Lỗi này cũng khá hay nhưng ít tài liệu và demo thực tế để cho mọi người có cái nhìn tổng quan hơn.
Kinh nghiệm check lỗi CSRF
-Dùng phần mềm Burpsuite bắt Request
-Dựa vào kinh nghiệm phán đoán những chỗ có khả năng dính CSRF thường thì ở những mục Like,Vote,comment.. ở các diễn đàn
-Kết hợp với Tool Pinata để check
|
|
Người có niềm tin có thể đi qua bất kỳ phong ba bão táp nào.
|
|
|
|
| [Question] Cách kiểm tra lỗi CSRF ( Cross-Site Forgery Request ) |
19/10/2012 14:54:05 (+0700) | #6 | 270293 |
![[Avatar]](/hvaonline/images/avatar/1595af6435015c77a7149e92a551338e.jpg "[Avatar]")
|
WinDak
Researcher
|
Joined: 27/01/2002 11:15:00
Messages: 223
Offline
|
|
Học phải đi đôi với hành.
Bài tập cho bạn là hãy tìm lỗi CSRF trên chính forum này của HVA. |
|
| -- w~ -- |
|
| [Question] Cách kiểm tra lỗi CSRF ( Cross-Site Forgery Request ) |
21/10/2012 10:07:53 (+0700) | #7 | 270332 |
|
xnohat
Moderator
|
Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
|
|
Làm khó bạn rồi windak  HVA có csrf cũng khó mà khai thác được vì có quá nhiều giới hạn khó vượt qua |
|
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline |
|
|
![[Rule]](/hvaonline/templates/viet/images/icon_mini_rule.gif "[Rule]"){kind=icon}
![[Home]](/hvaonline/templates/viet/images/icon_mini_groups.gif "[Home]"){kind=icon}
![[Portal]](/hvaonline/templates/viet/images/icon_mini_portal.gif "[Portal]"){kind=icon}
![[Members]](/hvaonline/templates/viet/images/icon_mini_members.gif "[Members]"){kind=icon}
![[Statistics]](/hvaonline/templates/viet/images/icon_mini_stats.gif "[Statistics]"){kind=icon}
![[Search]](/hvaonline/templates/viet/images/icon_mini_search.gif "[Search]"){kind=icon}
![[Reading Room]](/hvaonline/templates/viet/images/icon_mini_book.gif "[Reading Room]"){kind=icon}
![[Register]](/hvaonline/templates/viet/images/icon_mini_register.gif "[Register]"){kind=icon}
Register![[Login]](/hvaonline/templates/viet/images/icon_mini_login.gif "[Login]"){kind=icon}
Login [
Thảo luận thâm nhập
![[Profile]](/hvaonline/templates/viet/images/en_US/icon_profile.gif "[Profile]"){kind=icon}
![[PM]](/hvaonline/templates/viet/images/en_US/icon_pm.gif "[PM]"){kind=icon}
![[Up]](/hvaonline/templates/viet/images/en_US/icon_up.gif "[Up]"){kind=icon}
![[Print Copy]](/hvaonline/templates/viet/images/en_US/icon_print.gif "[Print Copy]"){kind=icon}
![[Email]](/hvaonline/templates/viet/images/icon_email.gif "[E-mai]"){kind=icon}
![[WWW]](/hvaonline/templates/viet/images/icon_www.gif "[www]"){kind=icon}
![[Yahoo!]](/hvaonline/templates/viet/images/icon_yim.gif "[YIM]"){kind=icon}
![[MSN]](/hvaonline/templates/viet/images/icon_msnm.gif "[MSN]"){kind=icon}
![[digg]](/hvaonline/templates/viet/images/digg.gif "[digg]")
![[delicious]](/hvaonline/templates/viet/images/delicious.gif "[delicious]")
![[google]](/hvaonline/templates/viet/images/google.gif "[google]")
![[yahoo]](/hvaonline/templates/viet/images/yahoo.gif "[yahoo]")
![[technorati]](/hvaonline/templates/viet/images/technorati.gif "[technorati]")
![[reddit]](/hvaonline/templates/viet/images/reddit.gif "[reddit]")
![[stumbleupon]](/hvaonline/templates/viet/images/stumbleupon.gif "[stumbleupon]")