Как работает CSRF?

CSRF обычно проводятся с использованием вредоносной социальной инженерии, такой как ссылка, которая заставляет жертву отправить поддельный запрос на сервер. Поскольку ничего не подозревающий пользователь аутентифицируется своим приложением во время атаки, невозможно отличить законный запрос от поддельного.

Пример CSRF

Перед тем как совершить нападение, преступник, как правило, готовит поддельный запрос, чтобы он выглядел как можно более законным.

Например, типичный запрос GET на банковский перевод в размере 100 долларов может выглядеть следующим образом:

Действия в Интернете могут привести к последствиям в реальной жизни. Будьте внимательны!

Обнаруженная проблема – является максимальной угрозой для сайтов, созданных на платформе «1С-Битрикс: Управление сайтом».

Эксплуатация XSS атаки, в случае ее грамотного исполнения, гарантирует взлом практически любого сайта, работающего под управлением CMS 1С-Битрикс последних версий.

Эксплуатация XSS атаки в связке с CSRF позволяет:

— изменять любые учетные данные доступа пользователей сайта

— создавать новых пользователей сайта, с различными привилегиями

— изменять привилегии существующих пользователей сайта

В отдельных случаях, особенно для ресурсов с недостаточным уровнем защиты на уровне

сервера, возможна эксплуатация CSRF в чистом виде, без ХSS. Кроме того, вышеописанная атака делает обычную XSS (к примеру, в строке поиска, что часто встречается у сайтов на 1С-Битрикс) максимальной угрозой безопасности сайта.

Резюме

1. Не оставляйте открытым доступ к авторизации административного раздела сайта.

2. Обновляйте ядро платформы 1С-Битрикс, специалисты компании устраняют уязвимости по мере их обнаружения.

3. Хотя бы раз в год проводите аудит безопасности ваших интернет проектов, для предотвращения взлома и атак.

Настоятельно рекомендуем установить следующие модули:

Главный модуль, v16.5.6, 2016–09–20

Управление структурой, v16.5.5, 2016–09–20

Валюты, v16.5.1, 2017–01–16

Более подробно.