« Новини: троян Ares, кібернавчання в Євросоюзі та вірус у Twitter
Добірка уразливостей »

Business Logic уразливості через CSRF

22:48 11.12.2010

Існують такі логічні уразливості як Business Logic, що дозволяють маніпулювати фінансовими даними у веб дадатках. І мені неодноразо доводилося знаходити подібні уразливості, починаючи ще з уразливості на clx.ru, що я виявив в 2005 році.

Враховуючи, що Business Logic дірки - це логічні уразливості, то вони відносяться Abuse of Functionality (WASC-42). Атака відбувається при спеціальному використуванні функціоналу сайта (веб додатка), що не очікувався його розробниками.

Але окрім “серверних” Business Logic уразливостей, існують ще “клієнтські”, які мені також доводилося зустрічати (зокрема нещадовно виявив подібні під час секюріті аудиту). І приклади подібних дірок на різних сайтах я з часом оприлюдню. Суть таких атак зводиться до проведення CSRF атаки на користувача з метою маніпуляції його фінансами.

Прикладом подібної уразливості, з якою я стикався неодноразово, є маніпуляція з виведенням коштів на електронні гаманці. Тобто відбувається зловживання функціоналом виводу коштів з аккаунта користувача.

При наявності Cross-Site Request Forgery (WASC-09) на сайті, сценарій атаки буде наступним:

1. Провести CSRF-атаку на користувача, щоб змінити його гаманець (наприклад, WebMoney) на гаманець нападника.

2. Провести другу CSRF-атаку на користувача, щоб ініціювати виведення коштів (на заданий в аккаунті гаманець).

За звичай необхідні два кроки атаки (два CSRF запити), тому що процес зміни гаманця і виведення коштів розбитий на окремі функціонали. Якщо на вразливому сайті ці дві операції об’єднані в один фунціонал, то можна послати один CSRF запит - для виведення коштів на вказаний гаманець.

Для даних задач також можна використовувати і XSS уразливості. В тому числі при наявності на сайті захисту від CSRF, можна через XSS обійти захист від CSRF атак. Але якщо від XSS власники сайтів ще іноді захищаються, то від CSRF захищаються набагато рідше. До того ж, від CSRF атак не захистить жоден WAF ;-) . Тому CSRF атаки буде досить для виведення коштів з рахунку користувача.


This entry was posted on 22:48 11.12.2010 and is filed under Статті. You can follow any responses to this entry through the RSS 2.0 feed.

Одна відповідь на “Business Logic уразливості через CSRF”

  1. MustLive каже:
    Четвер, 13:52 16.12.2010

    You can read this article on English in The Web Security Mailing List: Business Logic vulnerabilities via CSRF.

Leave a Reply

You must be logged in to post a comment.