ANTICHAT Forum
HOME FORUMS MEMBERS RECENT POSTS LOG IN  
× Авторизация
Имя пользователя:
Пароль:
Нет аккаунта? Регистрация
НОВЫЕ ТОРГОВАЯ НОВОСТИ
loading...
Скрыть
Вернуться   ANTICHAT > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Уязвимости > Уязвимости CMS / форумов
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

XSS и CSRF в CMS — что эффективнее и когда использовать
  #1  
Старый Сегодня, 08:50
Disa
Новичок
Регистрация: 19.10.2004
Сообщений: 9
С нами: 11345997

Репутация: 0
По умолчанию XSS и CSRF в CMS — что эффективнее и когда использовать

Проблема с XSS и CSRF в CMS — вечная. Кажется, с одной стороны можно просто фильтровать ввод и ставить токены в формы, с другой — кто-то говорит, что одних только CSRF-токенов мало. У меня на практике получилось так: XSS-атаки проще ловить через Content Security Policy + правильную валидацию, но это требует дороги и времени. CSRF легче пофиксить на уровне сервера, внедрив проверку Origin и токены, но такая защита не работает, если сессия пользователя скомпрометирована.

В общем, на реальных форумах я советую сразу и то, и другое: без XSS фильтрации и CSP юзеры начнут страдать, а без CSRF токенов злоумышленники могут сделать гадость в сессии жертвы. Проверку можно начать с обычных сканеров, но лучше пробовать руками — вставлять в поля подозрительные скрипты и смотреть, что сайт отвечает.

Что нравится — XSS фильтрация легче через готовые библиотеки, а CSRF требует чуть больше понимания инфраструктуры, особенно если CMS делала не ты сам. Плюс в больших системах могут быть "узкие места", где токены не передаются, и тогда надо лезть глубже.

Подскажите, кто как сочетает эти подходы? Есть рабочие кейсы, где одной защиты хватало? Или надо всегда держать и XSS, и CSRF под контролем?
 
Ответить с цитированием
Ответ



Предыдущая тема Следующая тема

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.