Ho notato che WordPress non ha una protezione csrf per il login del tuo pannello di amministrazione / wp-admin / . Possiede effettivamente un potenziale rischio? C'è qualche modo in cui un aggressore può sfruttarlo?
È necessario disporre di token csrf per i moduli di accesso?
Generalmente si suggerisce che i token CSRF siano applicati ai moduli di login per prevenire attacchi alle donazioni di sessione. L'idea è che puoi ingannare un utente per visitare un link e accedere a un account che controlli. Quindi eseguono alcune azioni che comportano la memorizzazione di alcune informazioni segrete sull'account, senza accorgersi che sono loggati come te e che vengono salvate nel tuo account.
Un semplice esempio potrebbe essere un sito di caricamento file. Se riesci a indurli ad accedere come te, potrebbero caricare un file sensibile nel tuo account piuttosto che nel loro, e puoi quindi rubarlo.
Per Wordpress questo probabilmente non è un grosso problema, perché non è particolarmente applicabile alla funzionalità fornita da Wordpress, e il pannello wp-admin non è realmente un'area "utente generale" che un utente malintenzionato potrebbe avere un valido account.
Lo scenario che hai descritto, in cui il modulo di accesso non include un token CSRF può dar luogo alla situazione in cui un utente malintenzionato utilizza le proprie credenziali per registrare la vittima nel account dell'attaccante e se l'utente non è a conoscenza dell'account a cui ha effettuato l'accesso, l'attaccante può vedere quali azioni eseguire la vittima includendo, come suggerito sopra, qualsiasi file sensibili che la vittima potrebbe aver caricato. Questo attacco è chiamato come Login CSRF .
Wordpress non sembra pensare che rappresenti un rischio. Tali attacchi sono stati dimostrati contro le grandi aziende come Google e Yahoo. Da Wikipedia:
Login CSRF makes various novel attacks possible; for instance, an attacker can later log into the site with his legitimate credentials and view private information like activity history that has been saved in the account. This attack has been demonstrated against Google and Yahoo.
In generale, suggerirei di avere un meccanismo anti-CSRF per il modulo di accesso, controllando tra gli altri Origin o Token CSRF .
La fonte della pagina wiki qui sopra: link
Per ulteriori informazioni e altri scenari di attacco , controlla link
Is it necessary to have csrf tokens for login forms?
In riferimento a Wordpress - No, non lo è. Le pagine di accesso non sono suscettibili a CSRF. L'intera premessa di CSRF è che l'utente è già autenticato per l'app quando vengono inviati i dati indesiderati.
Per OWASP:
"CSRF is an attack which forces an end user to execute unwanted actions on a web application in which he/she is currently authenticated. With a little help of social engineering (like sending a link via email/chat), an attacker may force the users of a web application to execute actions of the attacker's choosing. A successful CSRF exploit can compromise end user data and operation in case of normal user. If the targeted end user is the administrator account, this can compromise the entire web application. "
Per ulteriori informazioni, vedere: link
Leggi altre domande sui tag authentication wordpress csrf