sanek_os9
@sanek_os9
Работаю с Laravel, Vue, Vuetify, AWS Amazon, Linux

Насколько надежная защита токенами в GET?

Доброго времени суток. Насколько надежная защита токенами в GET параметре? К примеру, имеем страницу выхода /exit.php или /post/delete/98/ на стороннем сайте зная url этих страниц, можно разместить элементарно гиперссылку, не посмотрев на то куда она ведет и перейдя по которой пользователь выйдет из своего профиля, или что то удалит, или...много чего можно сделать. А можно разместить тег img на эти url, тогда и переходить никуда не нужно.
Исходя из этого, насколько эффективной будет защита вида передачи токена в url
/exit.php?token=sd76g5sd75g7sdg57ds5gvsd7v5
У каждого пользователя он соответственно индивидуальный, и периодически автоматически меняется.
Достаточно ли этого для защиты от подобного вида атак или может это вообще бесполезно?)
Имеет ли смысл в особо важных действиях использовать капчу?
  • Вопрос задан
  • 381 просмотр
Решения вопроса 2
RALMAZ
@RALMAZ
JavaScript Developer
Я предлагаю выводить вполне осязаемый попап по любому важному решению
Посмотрите как сделано у гитхаба

Хочешь добавить контрибьютора - введи ка пароль
Хочешь удалить репу - введи имя репы и пароль
Ответ написан
Можно сделать как в yii2.
Отправлять запрос методом POST, и с этим постом отправлять хэш, который сохраняется в сессию пользователю (при каждом обновлении страницы - новый хэш), и если хеш из поста не совпадает с хэшем из сессии - шлем курить бамбук
Ответ написан
Пригласить эксперта
Ответы на вопрос 3
@SolidMinus
Хз, думаю не имеет смысла. Этот токен же генерит кто-то, когда вносишь изменения или выходишь. А что мешает передать ссылку на непосредственно ту страницу откуда происходит генерация и переход? Или создать хтмл страницу, которая сделает пост запрос к этой странице? Юзер то залогинен уже, страница сайта генерит код, перенаправляет на важный скрипт с токеном и все, хана. Тот же clickjacking если будет.

Как защититься - хрен знает, я не веб разраб, я вообще этот метод обхода придумал только что, так что думаю защита такая хреновая :D

P.S. А если использовать белые списки referer'а? То есть с какой страницы разрешен переход, а с какой нет? Могу предположить, что такой метод юзается, т.к когда я юзал плагин который нулил все рефереры мои - у меня некоторые сайты сбоили конкретно. Подделать до сих пор можно через левый сайт, реферер можно вроде как изменить. Поэтому, как по мне, можно этот токен запердолить внутрь реферера, а об изменении перед переадресацией спрашивать об этом юзера.

Хз,)))))
Ответ написан
SerafimArts
@SerafimArts
Senior Notepad Reader
Вы пытаетесь изобрести csrf\xsrf, или я чего-то не понял?
Ответ написан
rpsv
@rpsv
делай либо хорошо, либо никак
Вообще по уму все действия (Command) должны выполняться по POST, а все отображение (Query) по GET.
Тогда проблема у вас собственно и пропадет.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы