Błędy bezpieczeństwa w Ruby on Rails i Django - Czy Twoje aplikacje są zagrożone?
Błędy bezpieczeństwa w Ruby on Rails i Django - Czy Twoje aplikacje są zagrożone?
Developerzy frameworków Ruby on Rails oraz Django w ostatnim czasie wydali ważne aktualizacje, które mają na celu zwiększenie ochrony przed atakami CSRF. To istotna kwestia, biorąc pod uwagę rosnącą liczbę cyberataków.
Oba frameworki oferują standardową ochronę przed atakami CSRF, opartą na weryfikacji tokena. Problem pojawił się jednak w przypadku żądań AJAX-owych, które były rozpoznawane po nagłówku X-Requested-With. W przeszłości, ochrona ta opierała się na zasadzie SOP, która jednak okazała się mieć luki.
Inżynier z Google ujawnił, że istnieje możliwość manipulacji przeglądarką w taki sposób, aby ustawić nagłówek X-Requested-With w sposób inny niż przez XMLHttpRequest. Wykorzystując "pewne pluginy w przeglądarkach oraz zestaw przekierowań", atakujący mogą przesłać zespoofowane żądania, co stwarza poważne zagrożenie dla bezpieczeństwa aplikacji.
W związku z tym, wszystkie zespoły developerskie powinny natychmiast zaktualizować swoje aplikacje, aby zabezpieczyć się przed tym nowym rodzajem ataku.
Na podstawie: Źródła
