8 марта 2013 г.

Защита от CSRF в ASP.NET MVC

Продолжая тему безопасности, хочется также поговорить о еще одном виде вредоносного вмешательства, с помощью подделки межсайтовых запросов (CSRF). Наверное, это второй по популярности тип атаки на веб-приложение, после XSS, о котором мы говорили в предыдущей теме.

Суть CSRF атаки заключается в том, что какое-то приложение или сторонний ресурс отправляют от вашего имени запросы на сервер.
Представьте себе ситуацию, когда вы авторизовались под собой на каком-то сайте, например, на сайте интернет-магазина, в котором зарегистрированы. Далее вы спокойно продолжаете заниматься обычными, хорошими делами, и никого не трогаете. А в один прекрасный момент обнаруживаете, что в том интернет-магазине кто-то оставил отзыв от вашего имени. Как же так получилось, ведь пароль известен только вам? Все просто. Произошла CSRF-атака.

Сегодня мы попробуем имитировать простую CSRF-атаку, а также реализуем механизм защиты  от нее.

6 марта 2013 г.

Защита от XSS в ASP.NET MVC, Часть 2

В первой части статьи мы познакомились с базовыми механизмами защиты от XSS-атак. Кроме этого, мы научились обходить эту защиту со стороны разработчика, для случаев, когда функционал сайта требует ввода пользователем произвольного контента.

Сегодня мы познакомимся со сторонним средством для обеспечения безопасности введенных, потенциально-опасных данных. Поможет нам в этом библиотека AntiXSS, разработанная Microsoft.

Защита от XSS в ASP.NET MVC, Часть 1

Если вы еще не страдали от XSS-атак на свое творение, то это только дело времени, или усилий, потраченных на защиту от них. О том, что же такое XSS, можно почитать в википедии.
Межсайтовый скриптинг - одна из самых распространенных уязвимостей в интернете. Даю гарантию, что как только вы представите свое творение-сайт широкой публике, то на него сразу же обрушится лавина попыток внедрить какую-либо пакость средствами XSS. Если в нескольких словах, то XSS (Сross Site Sсriрting) - вид уязвимости, которая позволяет внедрить в сайт вредоносный контент. Это может быть скрипт для кражи cookies, разметка для изменения контента, да и любой сторонний контент, который может как-то повлиять на нормальную работу сайта, или сломать всю вашу безопасность.

Сегодня мы начнем знакомиться с механизмами защиты от XSS-атак, а также посмотрим, как эту самую защиту можно обойти в случае необходимости.