Quali sono le caratteristiche comuni per identificare l'attacco CSRF dal file di registro di Apache?

Question

Quali sono le caratteristiche comuni per identificare l'attacco CSRF dal file di registro di Apache?

#1 da (1 voti)
#2 da (0 voti)

2

Ho provato l'attacco CSRF sull'applicazione di vulnerabilità web conosciuta come DVWA sul mio localhost e sul sistema operativo Kali Linux. Ho cambiato la password su questa applicazione utilizzando CSRF. Ha raccolto le seguenti voci di registro nel registro di accesso.

127.0.0.1 - - [15/Dec/2018:22:01:21 +0530] "GET /DVWA/vulnerabilities/csrf/?password_new=abc123&password_conf=abc123&Change=Change HTTP/1.1" 200 4303

Se un utente autenticato proverà a cambiare la password, le stesse voci saranno presenti nel file di registro.

Voglio sapere quali sono le caratteristiche comuni / esperte nel file di registro che identificheranno l'attacco CSRF.

Nota: eseguo analisi dei registri per scrivere un algoritmo che aumenterà la precisione nel rilevare gli utenti sospetti tramite il file di registro in base alle funzionalità di CSRF. Voglio aiuto per scoprire le funzionalità. Ho letto le informazioni su questo importante link su Funzionalità CSRF in Log il file . Il tuo aiuto sarebbe apprezzato.

apache attacks csrf attack-vector log-analysis

posta Shree 16.12.2018 - 21:19

fonte

2 risposte

Leggi altre domande sui tag apache attacks csrf attack-vector log-analysis

Che cos'è un attacco attivo? Forza la scansione AV dell'unità USB rispetto alla Scansione accesso ai file

score 1 · Answer 1

Se non hai una protezione CSRF , puoi raccogliere dai registri che una pagina è stata acceduta spontaneamente, senza passare attraverso un insieme di pagine previsto (ognuna delle quali porta nella sua CSRF token).

Sfortunatamente se il tuo sito viene scansionato e percorribile, questo approccio fuori banda non funzionerà facilmente, e in tal caso il volume delle query potrebbe essere un'indicazione (probabilmente di un attacco / ricognizione, non di un CSRF attacco specifico)

In altre parole, non ci sono chiare indicazioni sull'esecuzione di un attacco CSRF.

Se hai una protezione CSRF , dipende da dove si trova il token.

Se è nel corpo della richiesta (in particolare, le intestazioni) - non lo vedrai neanche nei log.
Se è negli argomenti URL, puoi cercare nei log gli URL che non hanno il token.

score 0 · Answer 2

Penso che sarà difficile trovare caratteristiche che siano sufficientemente accurate da darti un basso numero di falsi positivi (puramente basati sulle impostazioni predefinite di apache e senza aumentare la registrazione).

Il modo in cui l'abbiamo risolto prima era abilitare CSRF e registrare eventuali errori CSRF con le loro pagine e l'account che presentava la violazione.