ASP.NET MVC – zabezpieczenie przed Cross-Site Request Forgery

Atak Cross-Site Request Forgery (w skrócie CSRF lub XSRF) polega na wykorzystaniu nieświadomego niczego użytkownika, który w danym momencie zalogowany jest do serwisu będącego celem ataku, do wysłania żądania spreparowanego przez hakera. Takie żądanie może na przykład zmieniać dane użytkownika użytego do ataku, na takie, które później będą mogły być wykorzystane przez atakującego do zalogowania się do serwisu.

W dzisiejszym poście, chciałbym pokazać jak zabezpieczyć się przed tego typu atakiem w aplikacji ASP.NET MVC.

Na początek – przykład

Przyjmijmy, że w naszej aplikacji, posiadamy kontroler odpowiedzialny za edycję danych użytkownika. Mógłby on wyglądać na przykład tak jak poniżej:

Polecam szkolenia:

///
/// The account controller
///
public class AccountController : Controller
{
  private AccoutRepository accountRepository;

  ///
/// Initializes a new instance of the class.
  ///
  ///The account repository.
  public AccountController(AccountRepository accountRepository)
  {
    this.accountRepository = accountRepository;
  }

  ///
/// Edits the account data.
  ///
  ///
  [HttpGet]
  public ActionResult EditAccountData()
  {
    Account account = this.accountRepository.GetAccount();

    AccountViewModel viewModel = new AccountViewModel();
    viewModel.Email = account.Email;

    return View(viewModel);
  }

  ///
/// Edits the accout data.
  ///
  ///The view model.
  ///
  [HttpPost]
  public ActionResult EditAccountData(AccountViewModel viewModel)
  {
    Account account = this.accountRepository.GetAccount();

    account.Email = viewModel.Email;

    this.accountRepository.Save(account);

    return this.RedirectToAction("Index", "Home");
  }
}

Jak widać powyżej, w kontrolerze mamy dwie akcje ‚EditAccountData’ – jedną dla HttpGet i jedną dla HttpPost. Akcja dla GET pobiera dane o użytkowniku z repozytorium, a następnie przekazuje je do widoku w celu wypełnienia pól formularza edycyjnego.

Z kolei akcja dla POST, pobiera view-model zawierający zaktualizowane dane użytkownika (dla uproszczenia przykładu jest to tylko adres email). Zaktualizowane dane są następnie zapisywane do repozytorium.

Jak widać, całkiem standardowa operacja edycji danych – w zasadzie nic szczególnego, robimy takie rzeczy każdego dnia. Niestety taki kod jest łatwym celem ataku dla CSRF. Wyobraźmy sobie, że atakujący stworzy na swoim serwerze stronę HTML, zawierając poniższy kod:

</pre>
<form id="form" action="http://burczu-programator.pl/Account/EditAccountData" method="post">
    <input type="text" name="Email" value="pan.haker@mail.com" />
  </form>
<pre>


Wystarczy teraz, że atakujący skłoni zalogowanego w danym memencie użytkownika, do odwiedzenia powyższej strony, a jego adres email zostanie zmieniony na taki, który znany jest hakerowi. W tym momencie, wystarczy że skorzysta on z opcji odzyskiwania hasła w naszym serwisie i przejmuje kontrolę nad kontem tego użytkownika.

Oczywiście to tylko przykład, a tak na prawdę w ten sposób haker może wykorzystać swoją ofiarę do przesłania jakiegokolwiek rządania POST dostępnego w naszej aplikacji.

Jak uchronić się przed CSRF

Jednym ze sposobów na obronę przed atakiem tego typu jest dodanie do kodu formularza, ukrytego pola, zawierającego losowy token – przy każdym zatwierdzeniu formularza, sprawdzane jest czy przesyłana jest prawidłowa wartość tokena.

ASP.NET MVC dostarcza nam na szczęście szeregu helperów, dzięki którym możemy w prosty sposób zaimplementować opisywaną metodę obrony w naszej aplikacji. Wystarczy kod naszego formularza rozszerzyć w poniższy sposób:

@using (Html.BeginForm("EditAccountData", "Account"))
{
  @Html.AntiForgeryToken() 

  <!-- dalszy ciąg formularza -->
}

W wyniku kompilacji powyższego kodu, wygenerowany zostanie HTML, wyglądający podobnie do tego poniżej:

</pre>
<form action="/Account/EditAccountData" method="post"><input type="hidden" name="__RequestVerificationToken" value="TacPCpV99ru0PrsIXDUAWRwMufimhY12X7mX2YdiZ0EBKnHDCbjp46lEKO3eHnSvJJTUTRk6PqgvDXyiQ8" />
 <!-- dalszy ciąg formularza --></form>
<pre>

W tym samym momencie, helper ‚AntiForgeryToken’, generuje ciasteczko o nazwie ‚__RequestVerificationToken’ i wartości takiej samej jak w ukrytym polu formularza.

Aby móc walidować przychodzące żądania POST, wybrana akcja kontrolera musi zostać udekorowana atrybutem ‚ValidateAntiForgeryToken‚:

[HttpPost]
[ValidateAntiForgeryToken]
public ActionResult EditAccountData(AccountViewModel viewModel)
{
  Account account = this.accountRepository.GetAccount();

  account.Email = viewModel.Email;

  this.accountRepository.Save(account);

  return this.RedirectToAction("Index", "Home");
}

Przed wywołaniem akcji opatrzonej takim atrybutem, sprawdzane jest czy przychodzące żądanie zawiera ciasteczko ‚__RequestVerificationToken’, czy formularz zawiera pole o tej samej nazwie oraz czy wartości do nich przypisane są takie same. Jeśli nie, żądanie zakończy się zakończy się błędem.

Opisywany sposób ochrony przed CSRF działa, ponieważ nawet jeśli ofiara posiada odpowiednie ciasteczko, atakujący nie może podejrzeć jego wartości. Nie może więc spreparować odpowiedniego, ukrytego pola w formularzu. Oczywiście wszystko działa tylko jeśli użytkownik ma włączoną obsługę ciasteczek w swojej przeglądarce.

Podsumowując, w ASP.NET MVC można w prosty sposób zabezpieczyć się przed Cross-Site Request Forgery. Warto pamiętać o jego użyciu podczas implementowania formularzy w naszych aplikacjach.

P.S. W artykule pominąłem opis użycia własnej soli (salt) do generowania tokenów – w najnowszej wersji ASP.NET MVC ta opcja ma zostać usunięta, ponieważ nie powoduje zwiększenia bezpieczeństwa.

|

Jeden komentarz do “ASP.NET MVC – zabezpieczenie przed Cross-Site Request Forgery

Komentowanie zostało wyłączone.