Symfony buồn vui lẫn lộn. Các nhà phát triển vô tình tắt tính năng bảo vệ CSRF trong khung PHP
|
Những người tạo ra khung công tác Symfony PHP đã hoàn tác một thay đổi gần đây đã vô tình vô hiệu hóa khả năng phòng thủ trước các cuộc tấn công giả mạo yêu cầu chéo trang (CSRF) Show
Phần tử biểu mẫu Symfony của phần mềm mã nguồn mở bao gồm cơ chế bảo vệ CSRF phụ thuộc vào mã thông báo ngẫu nhiên được đưa vào biểu mẫu. Symfony là một framework PHP nổi tiếng dành cho các ứng dụng web và console Tính năng bảo vệ được bật theo mặc định cho đến khi có thay đổi gần đây về cách tải cấu hình khiến tính năng bảo vệ CSRF bị tắt và cần phải được bật rõ ràng. Bảo vệ có thể được bật hoặc tắt bằng cách thay đổi thiết lập cấu hình của khung Lỗ hổng nhiễm độc bộ đệm web được tìm thấy trong khung công tác Symfony PHP Vấn đề phát sinh khi các trang web khác nhau có thể can thiệp lẫn nhau, vì các lỗ hổng CSRF tạo cơ chế cho những kẻ tấn công lừa người dùng thực hiện các hành động mà họ không có ý định thực hiện. Các khung phát triển web hiện đại như Symfony và các trình duyệt như Chrome đều có hệ thống phòng thủ tích hợp chống lại các cuộc tấn công CSRF Người dùng Symfony (5. 3) các phiên bản bị ảnh hưởng14. 5. 43 và 6. 03) phải cập nhật lên các phiên bản đã vá lỗi, theo lời khuyên của GitHub Bài toán nhận được điểm CVSS là 8. Nó được theo dõi là CVE-2022-23501. Đề nghị khắc phục sớm vì tác động lớn Chrome sẽ tăng cường các biện pháp bảo vệ CSRF bằng các kiểm tra sơ bộ đối với các yêu cầu mạng riêng, BẠN CŨNG CÓ THỂ THÍCH Các nhà phát triển của khung công tác Symfony PHP đã đảo ngược một thay đổi gần đây đã vô tình tắt tính năng bảo vệ chống lại các cuộc tấn công giả mạo yêu cầu chéo trang (CSRF) Symfony là một khung công tác PHP phổ biến cho các ứng dụng web và bảng điều khiển. Thành phần biểu mẫu Symfony của phần mềm nguồn mở có cơ chế bảo vệ CSRF dựa trên mã thông báo ngẫu nhiên được đưa vào biểu mẫu Có thể bật hoặc tắt tính năng bảo vệ này bằng cách thay đổi thiết lập cấu hình của khung. Tính năng bảo vệ được bật theo mặc định cho đến khi có thay đổi gần đây về cách tải cấu hình có nghĩa là tính năng bảo vệ CSRF đã bị tắt và cần được bật rõ ràng LIÊN QUAN Lỗi ngộ độc bộ đệm Web được phát hiện trong khung công tác Symfony PHP Lỗ hổng CSRF tạo cơ chế cho kẻ tấn công lừa người dùng thực hiện các hành động mà họ không có ý định thực hiện. Vấn đề phát sinh trong trường hợp các trang web khác nhau có thể can thiệp lẫn nhau Các trình duyệt hiện đại như Chrome cũng như các khung phát triển web như Symfony có tính năng bảo vệ tích hợp chống lại các cuộc tấn công CSRF Người dùng các phiên bản Symfony bị ảnh hưởng (5. 3. 14 , 5. 4. 3 và 6. 03) cần nâng cấp lên các phiên bản đã vá, như được giải thích trong một lời khuyên được đăng trên GitHub Sự cố – được theo dõi là CVE-2022-23501 – ghi điểm CVSS là 8. 1. Do tác động cao của nó nên khắc phục sớm BẠN CŨNG CÓ THỂ THÍCH Chrome tăng cường bảo vệ CSRF bằng các kiểm tra trước khi bay đối với các yêu cầu mạng riêng Các nhà phát triển của khung công tác Symfony PHP phổ biến đã đảo ngược một thay đổi gần đây đã vô tình tắt tính năng bảo vệ chống lại các cuộc tấn công giả mạo yêu cầu chéo trang (CSRF) Phiên bản bị ảnh hưởngNgười dùng các phiên bản Symfony bị ảnh hưởng (5. 3. 14 trở về trước, 5. 4. 0-5. 4. 3 và 6. 0. 0-6. 03) cần nâng cấp lên các phiên bản đã vá, như được giải thích trong một lời khuyên được đăng trên GitHub - Quảng cáo - Sự cố được theo dõi là CVE-2022-23501 có điểm CVSS là 8. 1. Do tác động lớn của nó nên khắc phục sớm. Lỗ hổng CFRFLỗ hổng CSRF tạo cơ chế cho kẻ tấn công lừa người dùng thực hiện các hành động mà họ không có ý định thực hiện. Vấn đề phát sinh trong trường hợp các trang web khác nhau có thể can thiệp lẫn nhau Tôi có giống như một bản ghi bị hỏng không? . -) - Chuỗi cung ứng phần mềm của bên thứ 3 - Các nhà phát triển khuôn khổ phổ biến đã vô tình tắt CSRF - sản phẩm của bạn có bị ảnh hưởng không? . //lnkd. in/eiCWQ3RC Hãy liên lạc với chúng tôi tại www. sự mạo hiểm. com #supplychainsecurity #supplychainattacks #supplychainquản lý #softwaresupplychain Symfony buồn vui lẫn lộn. Các nhà phát triển vô tình tắt tính năng bảo vệ CSRF trong khung PHPportwigger. mạng lướiThích Bình luận Đăng lại
Để xem hoặc thêm nhận xét, hãy đăng nhập Anirban Banerjee Giám đốc điều hành và đồng sáng lập tại Riscosity 10 thángTôi có giống như một bản ghi bị hỏng không? . -) - Chuỗi cung ứng phần mềm của bên thứ 3 - Các nhà phát triển khuôn khổ phổ biến đã vô tình tắt CSRF - sản phẩm của bạn có bị ảnh hưởng không? . //lnkd. in/eiCWQ3RC Hãy liên lạc với chúng tôi tại www. sự mạo hiểm. com #supplychainsecurity #supplychainattacks #supplychainquản lý #softwaresupplychain Symfony buồn vui lẫn lộn. Các nhà phát triển vô tình tắt tính năng bảo vệ CSRF trong khung PHPportwigger. mạng lướiNick Mahnke đã đăng lại cái này Anirban Banerjee Giám đốc điều hành và đồng sáng lập tại Riscosity 8mo#Shadow #Liability là gì - Rủi ro mà bạn gặp phải do sử dụng phần mềm và dịch vụ của bên thứ 3 - Dưới đây là sơ lược 30 giây. - Nhận #Riscosity ngay hôm nay và khám phá #Shadowliability của bạn - Quản lý và khắc phục trong vài phút chứ không phải vài tháng tham vấn với các chuyên gia tư vấn đắt tiền Thích Bình luận Đăng lại
Để xem hoặc thêm nhận xét, hãy đăng nhập Anirban Banerjee Giám đốc điều hành và đồng sáng lập tại Riscosity 8mo#Shadow #Liability là gì - Rủi ro mà bạn gặp phải do sử dụng phần mềm và dịch vụ của bên thứ 3 - Dưới đây là sơ lược 30 giây. - Nhận #Riscosity ngay hôm nay và khám phá #Shadowliability của bạn - Quản lý và khắc phục trong vài phút chứ không phải vài tháng tham vấn với các chuyên gia tư vấn đắt tiền Nick Mahnke đã đăng lại cái này Anirban Banerjee Giám đốc điều hành và đồng sáng lập tại Riscosity 9 thángChào buổi sáng anh em an ninh. Một cuộc trò chuyện tuyệt vời để bắt đầu một ngày - CIO và chuyên gia bảo mật, Prasad Ramakrishnan từ #Freshworks và Drew Daniels #SVCI thành viên và lãnh đạo bảo mật kỳ cựu nói về SDLC, cách làm cho các chương trình bảo mật thành công - mẹo hay cho các nhà cung cấp bảo mật. Một cách thực sự thú vị về an ninh chuỗi cung ứng, với các ví dụ và chiến lược trong thế giới thực. - https. //lnkd. in/ebk6hwVS Cảm ơn cả Prasad Ramakrishnan và Drew Daniels. #Riscosity #supplychainsecurity #softwaresupplychain Tập 6 Đảm bảo chuỗi cung ứng kỹ thuật số có Prasad Ramakrishnan và Drew Danielshttps. //www. youtube. com/Thích Bình luận Đăng lại
Để xem hoặc thêm nhận xét, hãy đăng nhập Anirban Banerjee Giám đốc điều hành và đồng sáng lập tại Riscosity 9 thángChào buổi sáng anh em an ninh. Một cuộc trò chuyện tuyệt vời để bắt đầu một ngày - CIO và chuyên gia bảo mật, Prasad Ramakrishnan từ #Freshworks và Drew Daniels #SVCI thành viên và lãnh đạo bảo mật kỳ cựu nói về SDLC, cách làm cho các chương trình bảo mật thành công - mẹo hay cho các nhà cung cấp bảo mật. Một cách thực sự thú vị về an ninh chuỗi cung ứng, với các ví dụ và chiến lược trong thế giới thực. - https. //lnkd. in/ebk6hwVS Cảm ơn cả Prasad Ramakrishnan và Drew Daniels. #Riscosity #supplychainsecurity #softwaresupplychain Tập 6 Đảm bảo chuỗi cung ứng kỹ thuật số có Prasad Ramakrishnan và Drew Danielshttps. //www. youtube. com/Nick Mahnke đã đăng lại cái này Anirban Banerjee Giám đốc điều hành và đồng sáng lập tại Riscosity 10 thángBạn có biết liệu nhà cung cấp phần mềm bên thứ 3 của mình có đang gửi dữ liệu (thông qua lệnh gọi API) đến một quốc gia ITAR không?
Thích Bình luận Đăng lại
Để xem hoặc thêm nhận xét, hãy đăng nhập Nick Mahnke đã đăng lại cái này Anirban Banerjee Giám đốc điều hành và đồng sáng lập tại Riscosity 10 tháng3 nhà lãnh đạo bảo mật tuyệt vời - Kevin Paige, Frank W. Weigel và Richard Watson - Thật là một cuộc trò chuyện tuyệt vời khi thảo luận về các thách thức an ninh mạng trong thời kỳ hiện đại. Tập trung đặc biệt vào (1) CISO nghĩ như thế nào về "Chuỗi hành trình" thông tin (2) Đối với các công ty SMB và thị trường trung bình, bạn có thể xây dựng một chương trình hiệu quả như thế nào và (3) FDIC, hướng dẫn FIL dành cho ngân hàng giúp bạn thiết lập các mục tiêu . Phải nghe thưa quý vị và các bạn - https. //lnkd. in/egDiZ2Qq - Xin chân thành cảm ơn Frank W. Weigel Kevin Paige và Richard Watson. Go Team #Riscosity #supplychainsecurity #supplychainquản lý #sast #dast #cybersecurity #security Tập 3 Frank W, Rich W, Kevin P - Bảo mật chuỗi cung ứng kỹ thuật sốhttps. //www. youtube. com/Thích Bình luận Đăng lại
Để xem hoặc thêm nhận xét, hãy đăng nhập Anirban Banerjee Giám đốc điều hành và đồng sáng lập tại Riscosity 10 tháng3 nhà lãnh đạo bảo mật tuyệt vời - Kevin Paige, Frank W. Weigel và Richard Watson - Thật là một cuộc trò chuyện tuyệt vời khi thảo luận về các thách thức an ninh mạng trong thời kỳ hiện đại. Tập trung đặc biệt vào (1) CISO nghĩ như thế nào về "Chuỗi hành trình" thông tin (2) Đối với các công ty SMB và thị trường trung bình, bạn có thể xây dựng một chương trình hiệu quả như thế nào và (3) FDIC, hướng dẫn FIL dành cho ngân hàng giúp bạn thiết lập các mục tiêu . Phải nghe thưa quý vị và các bạn - https. //lnkd. in/egDiZ2Qq - Xin chân thành cảm ơn Frank W. Weigel Kevin Paige và Richard Watson. Go Team #Riscosity #supplychainsecurity #supplychainquản lý #sast #dast #cybersecurity #security Tập 3 Frank W, Rich W, Kevin P - Bảo mật chuỗi cung ứng kỹ thuật sốhttps. //www. youtube. com/Nick Mahnke Kỹ sư phần mềm cao cấp tại Riscosity 10 thángrủi ro 172 người theo dõi 10 thángChuỗi tư tưởng lãnh đạo bảo mật. Trong loạt bài này, chúng ta khám phá cách các nhà lãnh đạo bảo mật trên toàn thế giới nhìn nhận các vấn đề, giải pháp và công nghệ giúp giải quyết cuộc khủng hoảng Chuỗi cung ứng kỹ thuật số. https. //lnkd. trong/dQkmtfEw Riscosity - Bảo Mật Chuỗi Cung Ứng Kỹ Thuật Số - Thought Leaders - Tập. 1https. //www. youtube. com/
Thích Bình luận Đăng lại
Để xem hoặc thêm nhận xét, hãy đăng nhập Nick Mahnke Kỹ sư phần mềm cao cấp tại Riscosity 10 thángCông ty khởi nghiệp của tôi ra mắt hôm nay. Bất cứ ai muốn cải thiện bảo mật phần mềm của họ nên đến xem rủi ro 172 người theo dõi 10 thángCác dịch vụ của chúng tôi giúp các công ty chốt các giao dịch có giá trị lớn hơn trong thời gian ngắn hơn nhiều bằng cách cung cấp chứng thực bảo mật cho phần mềm của công ty cho khách hàng tiềm năng. #sbom #quản lý rủi ro #softwaresupplychain https. //lnkd. trong/dbhqF3wr Bảo vệ CSRF Symfony là gì?CSRF - hoặc Giả mạo yêu cầu trên nhiều trang web - là phương pháp mà người dùng ác ý sử dụng để khiến người dùng hợp pháp của bạn vô tình gửi dữ liệu mà họ không có ý định gửi. CSRF protection works by adding a hidden field to your form that contains a value that only you and your user know.
Vô hiệu hóa Cors có ngăn CSRF không?Vô hiệu hóa CORS
. Điều này không nhất thiết phải ngăn máy chủ phản hồi, đó là bản chất của các cuộc tấn công CSRF .
Bảo vệ CSRF có cần thiết không?Nói chung câu trả lời là. Mọi hình thức phải được bảo vệ CSRF
{% CSRF token %} là gì?Mã thông báo CSRF là mã thông báo ngẫu nhiên an toàn (e. g. , mã thông báo đồng bộ hóa hoặc mã thông báo thách thức) được sử dụng để ngăn chặn các cuộc tấn công CSRF . Mã thông báo cần phải là duy nhất cho mỗi phiên người dùng và phải có giá trị ngẫu nhiên lớn để khó đoán. Ứng dụng bảo mật CSRF chỉ định mã thông báo CSRF duy nhất cho mỗi phiên người dùng.
|
