Cross Site Request Forgery – CSRF (Theorie)

In diesem Video die theoretischen Ausführungen zu Cross Site Request Forgery.

SemperVideo.de

SemperVideo.de

Auf unserer Website finden Sie viele Informationen, die “Bad Guys” negativ einsetzen könnten. “Good Guys” können sich mit diesen Informationen besser schützen. Die wichtige Frage ist also, ob die “Good Guys” sicherer sind, wenn wir diese Informationen nicht verbreiten.



  • Kommentare zum Video

    Benachrichtigung
    avatar
    5000
    Sortiert nach:   neuste | älteste | beste Bewertung
    THWBM
    Zuschauer

    wie muss den der follständige html-code für den Youtube logout lauten? Kann
    mir bitte jemand helfen?

    ColdHeartedMan86
    Zuschauer

    @Dragonmaster047 Das trifft i.d.R. (gibt scripts die machen aus $_POST und
    $_GET eine variable) auf PHP zu – ASP kennt nur Request(“..”) da ist POST
    und GET eins;)

    ColdHeartedMan86
    Zuschauer

    @ZeroFire85 Aber was für eine Überprüfung? Browser sendet: GET ‘pfad’
    HŦŦP/1.1 ACCEPT:GIF,JPEG. Cookie:User=dau101 der Server bekommt das – wie
    soll er überprüfen ob die php(jedes server script eigentlich) ein Bild
    erzeugt, ohne dieses auszuführen. Sobald der Server dieses Script mit den
    notwendigen paramtern und cookies startet ist das geld von Paypal Konto A
    nach B transferiert. Wenn der server/browser dann merkt hoppla das ist kein
    Bild ist es zu spät.

    ColdHeartedMan86
    Zuschauer

    @ZeroFire85 Da geht man in ruhe grillen kommt wieder…: “Der Cookie wird
    beim reinen Request nicht mitgesendet sondern erst wenn die Seite geladen
    wird” Der Request ist die anfrage zum laden – defakto wird im Key “Cookie”
    die für die !!Domain!! relevanten Cookies übertragen. Das jetzt die Bilder
    von iX’ytimg’com keine Cookies von youtube com beinhalten liegt an der
    Domain. geh mal auf eine seite die selbst die bilder hosted und mach da die
    entwickler-tools an.

    hearthking
    Zuschauer

    Posteingang (437) ….. WTF

    nickficker20
    Zuschauer

    Diese Team sollte die Programmierung des Internet Explorers verwenden, dann
    wäre der auch mal was wert!

    SemperVideo
    Zuschauer

    @beyondnetwork Für den Fall, dass Sie die “Same-Origin-Policy” des Browsers
    meinen, die läßt sich einfach austricksen, wenn man den Code in ein iFrame
    packt. SOP gilt nicht für iFrames.

    beyondnetwork
    Zuschauer

    Hm…. also eigentlich haben die Browser einen domain-gesteuerten
    Schutzmechanismus. Sozusagen namespaces und an sich kann man als nicht
    youtube seite gar nicht auf youtube cookies zugreifen.

    ZeroFire
    Zuschauer

    @ColdHeartedMan86 Das is mir alles bekannt? Ich wollte nur dezent auf die
    fehlende Überprüfung von Images hinweisen. Das Problem ist hier im
    überringen nicht der Request. Der Cookie wird beim reinen Request nicht
    mitgesendet sondern erst wenn die Seite geladen wird und diese den Cookie
    anfordert. Das beides in einander übergeht ist klar, aber diese
    Unterscheidung sollte man schon treffen.

    HTP4all
    Zuschauer

    @ZeroFire85 Hallo und danke für deine statement :) . Du hast in soweit
    recht, dass der private Modus immer aktiv sein müsste. Was er auch bei mir
    tut. Zudem nutze ich BetterPrivacy um die letzten Spuren ebenfalls noch zu
    entfernen. Dies sollte soweit ausreichen. Die, wenn noch vorhandenen, alten
    cookies sind per Hand gelöscht und daher sollte es noch schwieriger sein.
    Trotzdem bin ich über weitere Schwachstellen bzw. Umgehungen gespannt.
    Danke und Grüße von HTP! | HTP4all

    wpDiscuz