Cross-site scripting (XSS)

Zjednodušene povedené sa jedná o typ útoku, kedy útočník vloží do našej aplikácie svoj škodlivý kód. Takýto kód sa najčastejšie vkladá cez neošetrené formulárové prvky alebo parametre url adresy. Predstavme si situáciu, že máme formulár na vkladanie komentárov k článkom, v ktorom by sme neošetrovali vstup od užívateľa. Určite tušíte, že takýto prístup je veľmi nebezpečný a útočník by mohol cez takýto nezabezpečený formulár vložiť napr. ľubovoľný javascriptový kód a spôsobiť nám tým veľké problémy. Toto bolo len krátke predstavenie problematiky, viac sa môžete dočítať na wikipedia.org alebo na serveri www.root.cz

My sa poďme pozrieť, ako zabezpečiť našu aplikáciu pred XSS pomocou CakePHP.

Trieda Sanitize

CakePHP má priamo implementovanú triedu Sanitize ktorá sa stará o spracovanie formulárových dát od užívateľa a ponúka niekoľko preddefinovaných a veľmi užitočných metód. Predstavme si, že v našich komentároch chceme zakázať zobrazenie akéhokoľvek html tagu a tým úplne zabrániť XSS útoku. Kód by mohol vypadať následovne

// import Sanitize class
App::import('Sanitize');

//display comment
echo Sanitize::html($comment['text']);

Takto môžeme bezpečne zobrazovať komentáre bez obavy pred útokom XSS, pretože všetky html elementy sa nám prevedú na entity. O všetkých možnostiach, ktoré ponúka trieda Sanitize sa môžete dočítať v článku Spracovávame formulárové dáta

Cross-Site Request Forgery (CSRF)

Jedná sa o typ útoku, kedy sa nám útočník snaží podvrhnúť falošný požiadavok medzi stránkami. Predstavme si situáciu, kedy nám útočník vloží do nášho formulára nasledovný kód

<img src="http://localhost/articles/delete/10000">

Keby sme nemali nijakým spôsobom ošetrený prístup k akcii delete v controllery articles s najväčšou pravdepodobnosťou by došlo k vymazaniu článku s id 10000. Opäť považujte tento príklad za veľmi zjednodušený, pre bližšie štúdium odkážem na článok na serveri www.root.cz

My sa poďme pozrieť, ako zabezpečiť našu aplikáciu pred CSRF pomocou CakePHP.

Security komponenta

CakePHP nám defaultne ponúka Security komponentu pomocou ktorej môžeme zabezpečiť našu aplikáciu pred CSRF. Táto komponenta ponúka niekoľko preddefinovaných metód, my sa pozrieme na dve z nich a to konkrétne requireAuth a requirePost. Kód by mohol vypadať následovne

var $components = array('Security');

function beforeFilter()
{
  $this->Security->requireAuth('delete', 'add');
  $this->Security->requirePost('delete', 'add');
}

Ako môžeme vidieť na kóde vyššie, volaním metódy requireAuth si vynútime, že akcie delete a add vyžadujú prihláseného užívateľa a volaním metódy requirePost si vynútime, že pre tieto akcie musí byť použitá metóda POST namiesto GET. Tým sme efektívne zabránili, aby fungoval škodlivý kód pomocou požiadavku GET, ktorý sme umiestnili do parametru src v obrázku src=„http://l­ocalhost/arti­cles/delete/10000“

Musíme však poznamenať, že takáto ochrana proti CSFR nie je úplne 100% a ako sa môžete dočítať v odkazovaných článkoch, CSRF sa dá rozšíriť aj na požiadavky typu POST, ale myslím si, že vyššie uvedený kód je veľmi dobrý základ ako začať s obranou proti CSRF.

Myslím si, že týmto útokom rozhodne treba venovať pozornosť, pretože sú veľmi jednoduché na implementáciu a môžu spôsobiť obrovské škody a poškodiť povesť mnohých webov.