http://rapidshare.com/files/46832395/Cross_Site_Tracing.pdf.html
עריכה: מישהו מכיר עוד מקומות שבהם כדאי לפרסם את המאמר?
[ההודעה נערכה על-ידי MasterBlaster ב-04/08/2007 09:15:23]
ראשי > אבטחת מידע > מאמר שכתבתי על Cross Site Tracing
http://rapidshare.com/files/46832395/Cross_Site_Tracing.pdf.html
עריכה: מישהו מכיר עוד מקומות שבהם כדאי לפרסם את המאמר?
[ההודעה נערכה על-ידי MasterBlaster ב-04/08/2007 09:15:23]
רוצה דבר איתי באייסי אני יעזור לך לפרסם בכייף[ההודעה נערכה על-ידי ShaDoW MaN ב-05/08/2007 00:14:12]
אגב צצתי ככה בקטנה.. נחמד :P
איזה עוד מאמרים יש לך :P ?
אגב צצתי ככה בקטנה.. נחמד :P
איזה עוד מאמרים יש לך :P ?
יש לי את המאמר על Rainbow Tables שאני עכשיו משכתב, עוד מאמר על Fork Bomb שגם זקוק לליטוש קל, אחד ממש ישן על Google Hacking ועכשיו אני עובד על מאמר נרחב שמסקר התקפה בשם XSRF.
[ההודעה נערכה על-ידי MasterBlaster ב-05/08/2007 00:31:31]
ואללה שתסיים לכתוב / לתקן תעלה תמאמר , תודה (:
ישר כוח, המשך כח..
אני מאוד מעריך אנשים כמוך שתורמים לקהילה, וכותבים מאמרים עם השקעה כזאתי. אפשר לראות שהמאמרים שלך לא נכתבו בצורה מזלזלת, אלה באמת נכתבו על שפה גבוהה - רמה.
המשך ככה...
בעצם אני מאמין שאנחנו מדברים על אותו דבר - Cross Site Request Forgery...[ההודעה נערכה על-ידי HLL ב-05/08/2007 21:20:43]
בעצם אני מאמין שאנחנו מדברים על אותו דבר - Cross Site Request Forgery...
[ההודעה נערכה על-ידי HLL ב-05/08/2007 21:20:43]אנחנו מדברים על אותו דבר.
פשוט חלק מאנשי האבטחה מעדיפים להשתמש בראשי התיבות XSRF במקום CSRF בגלל שההתקפה מזכירה בכמה מובנים את XSS.[ההודעה נערכה על-ידי MasterBlaster ב-05/08/2007 22:09:43]
ההבדל היחידי בניהם הוא היכן וכיצד מנצלים את אותו באג
XSS הבעייה היא באמון שהדפדפן נותן בגולש
CSRF הבעייה היא במון שהמשתמש נותן בדפדפן
אני טועה?
אמשח לקרוא את הטקסט שלך
ההבדל היחידי בניהם הוא היכן וכיצד מנצלים את אותו באג
XSS הבעייה היא באמון שהדפדפן נותן בגולש
CSRF הבעייה היא במון שהמשתמש נותן בדפדפן
אני טועה?
אמשח לקרוא את הטקסט שלך
בגדול אתה צודק, אבל יש לך כמה אי-דיוקים. XSS ו-XSRF דומות בכך ששתיהן מתבססות על "בעיית האמון" שבין שני צדדים. ב-XSS התוקף מנצל את האמון שהמשתמש רוחש לאתר (כלומר, המשתמש מאמין שתוכן הדף שמוצג לו הוא "אותנטי", כלומר נוצר על-ידי בעל האתר) ואילו ב-XSRF התוקף מנצל את האמון שהאתר רוחש למשתמשים (כלומר, האתר מאמין שכל בקשה שנשלחה אליו על-ידי משתמש מסוים אכן היתה יזומה).
חוץ מזה, חשוב להדגיש שב-XSS אתה יכול להזריק קוד ככל העולה על רוחך, ואילו ב-XSRF אתה "מוגבל" לפעולות אותן האפליקציה הגדירה (שינוי סיסמא, פרסום הודעה בפורום וכדומה).[ההודעה נערכה על-ידי MasterBlaster ב-06/08/2007 19:51:14]
בהודעה שכתבת שאני בXSRF מוגבל מה בעצם הבאג התיכנותי אם תרצה לקרוא לו כך..
תמשיך כך , הטקסטים יוצאים ממש בסדר בשביל הפורום.
אין קשר (כמעט) בין XSS ל XSRF .
אם יש אימות נתונים מורכב שנועד למניעת XSRF , דרך XSS (אם יש) אפשר לעקוף את ההגנה הזאת.
אם יש XSS אך גם XSRF , עדיף לא לנצל XSS.
בהודעה שכתבת שאני בXSRF מוגבל מה בעצם הבאג התיכנותי אם תרצה לקרוא לו כך..
ה"באג התכנותי" הוא בעצם העובדה שהאפליקציה לא טורחת לבדוק שמי שיזם את הבקשה הוא אכן המשתמש.
אפשר לבדוק את זה דרך ה-Referer או דרך שדה hidden שיוגדר בכל טופס HTML ויכיל ערך יחודי לכל משתמש (מה שנקרא בעגה המקצועית Token).[ההודעה נערכה על-ידי MasterBlaster ב-06/08/2007 20:55:49]
בהודעה שכתבת שאני בXSRF מוגבל מה בעצם הבאג התיכנותי אם תרצה לקרוא לו כך..
ה"באג התכנותי" הוא בעצם העובדה שהאפליקציה לא טורחת לבדוק שמי שיזם את הבקשה הוא אכן המשתמש.
אפשר לבדוק את זה דרך ה-Referer או דרך שדה hidden שיוגדר בכל טופס HTML ויכיל ערך יחודי לכל משתמש (מה שנקרא בעגה המקצועית Token).
[ההודעה נערכה על-ידי MasterBlaster ב-06/08/2007 20:55:49]
אשמח אם תתן לי מילות חיפוש יותר מדוייקות
אני כבר יעשה את השאר