Veiligheid GET/POST bij uitlog functie *

netvor schreef op maandag 22 maart 2010 @ 10:38:
@korgakos: De logout-knop was dus een link als http://foo/index.bar?logout=1 ? Dan kan ik de reactie van de beheerders goed begrijpen; jij als gebruiker kan natuurlijk de hacker uithangen en die URL veranderen naar logout=0, maar dat is dan functioneel gelijk aan gewoon naar de index-pagina surfen, of überhaupt niet op de logout-knop klikken. Geen enkel beveiligingsprobleem toch

[Voor 55% gewijzigd door Janoz op 22-03-2010 10:47]

roy-t schreef op maandag 22 maart 2010 @ 10:41:
[...]


Jij logt uit op een publieke computer, (zeg een webkiosk, zoals die bij de rug en hanze in de kantine staan) de volgende persoon navigeert weer naar de main pagina, zet er
?logout=0 achter en kan verder met de vorige sessie, want deze wordt blijkbaar niet verwijderd (of niet direct iig).

1

[img]http://foo/index.bar?logout=1[/img]

[Voor 17% gewijzigd door BarôZZa op 23-03-2010 14:54]

BarôZZa schreef op dinsdag 23 maart 2010 @ 14:51:
Bij een logout moet je in mijn ogen altijd een unieke key meegeven, anders kan je iedereen laten uitloggen. Als het op een forum is waar je plaatjes kan posten kan je vaak zelfs het volgende doen:

code:

1	[img]http://foo/index.bar?logout=1[/img]

Ik heb dat al meerdere keren gezien op fora. Waarbij je bijvoorbeeld op iemands profiel dat kon doen, waarbij diegene telkens uitlogde wanneer hij/zij op z'n profiel keek. Of een topic met zoiets erin.

Sowieso zijn veel sites waardeloos wanneer het gaat om XSS zaken. Zelfs die schreeuwpieten van GeenStijl waren gevoelig voor XSS. Kan/kon je iedereen die ingelogd was automagisch iets laten posten.

netvor schreef op dinsdag 23 maart 2010 @ 15:33:
Dit is niet zozeer een voorbeeld van XSS, maar van CSRF

Olaf van der Spek schreef op dinsdag 23 maart 2010 @ 18:04:
Zou dit niet opgelost kunnen worden op HTTP/HTML niveau?

.oisyn schreef op dinsdag 23 maart 2010 @ 15:34:
Ik ben even confuus, wie beweerde dat precies?

Sebazzz schreef op dinsdag 23 maart 2010 @ 18:22:
Uhm, HTML is een standaard voor webdocumenten over HTTP. HTTP is een netwerkprotocol. Que?

RetroTycoon schreef op dinsdag 23 maart 2010 @ 20:57:
Toch... hoe word je dan geacht een uitlogoptie te maken? Ik trigger zelf vaak via een if(isset(logout)) en die stuur ik dan sessievrij door. Bad practice?

RetroTycoon schreef op dinsdag 23 maart 2010 @ 20:57:
Toch... hoe word je dan geacht een uitlogoptie te maken? Ik trigger zelf vaak via een if(isset(logout)) en die stuur ik dan sessievrij door. Bad practice?

Janoz schreef op dinsdag 23 maart 2010 @ 15:04:
[...]

Het probleem klopt, alleen is de oplossing 'fout'. Om een dergelijk probleem op te lossen moet je niet eerst met een key aankomen, maar moet je een POST gebruiken ipv een GET.

Olaf van der Spek schreef op dinsdag 23 maart 2010 @ 21:54:
[...]

Ik zou er een redirect tussen zetten.

BarôZZa schreef op dinsdag 23 maart 2010 @ 22:05:
[...]

Het probleem is dat je een gebruiker kan laten uitloggen als je geen key gebruikt, of dat nu via POST of GET is. Met een key maakt het eigenlijk niet uit welke van de twee je gebruikt. GET is gemakkelijk voor een tekst link om uit te loggen.

RetroTycoon schreef op dinsdag 23 maart 2010 @ 20:57:
Toch... hoe word je dan geacht een uitlogoptie te maken? Ik trigger zelf vaak via een if(isset(logout)) en die stuur ik dan sessievrij door. Bad practice?

[Voor 4% gewijzigd door Anoniem: 343818 op 24-03-2010 09:48]

Anoniem: 343818 schreef op woensdag 24 maart 2010 @ 09:46:
[...]
In princiepe behoor je gewoon een pagina aan te maken, te vragen of ze er zeker van zijn of ze willen uitloggen, een unieke HASH/Key maken die iedere keer anders is, die in de sessie te stoppen, ze het via POST laten versturen en kijken of de Key overeenkomt. Is dat niet het geval, is er een geval geweest van CSRF.

Woy schreef op woensdag 24 maart 2010 @ 10:08:
[...]

Ik weet niet precies welke rechten Javascript allemaal heeft wat betreft connecties naar andere hosts, maar die key helpt natuurlijk niet zo zeer tegen CSRF, want een javascriptje kan gewoon die pagina ophalen, key eruithalen, en die key via POST doorsturen.

Zoals gezegd moet je inderdaad geen GET gebruiken want dan is het misbruik wel erg makkelijk.

Woy schreef op woensdag 24 maart 2010 @ 10:08:
[...]
Ik weet niet precies welke rechten Javascript allemaal heeft wat betreft connecties naar andere hosts, maar die key helpt natuurlijk niet zo zeer tegen CSRF, want een javascriptje kan gewoon die pagina ophalen, key eruithalen, en die key via POST doorsturen.

T-MOB schreef op woensdag 24 maart 2010 @ 10:37:
[...]
Als dit met javascript zou kunnen dan heb je een ontzettend lekke browser. Niets dat je dan in de weg zou staan om een script op je site te zetten dat iemands Gmail uitleest.

Woy schreef op woensdag 24 maart 2010 @ 10:44:
Volgens mij zijn er geen restricties op het opvragen en posten naar een pagina in javascript.

Wat ik me wel bedenk is dat je met dat stukje javascript natuurlijk niet de cookies van de huidige sessie meestuurt, en je dus geen andere sessie uit kan lezen, en dus ook niet uit kunt loggen.

Maar het lijkt me dat dat bij elke uitlogpagina via een POST request gewoon zo is. Je zou dan al XSS toegepast moeten hebben om uit te kunnen loggen lijkt me.

[Voor 7% gewijzigd door Olaf van der Spek op 24-03-2010 10:57]

[Voor 20% gewijzigd door Technicality op 24-03-2010 11:03]

Olaf van der Spek schreef op woensdag 24 maart 2010 @ 10:56:
[...]
Ik dacht het wel.

Dat is juist weer niet zo (helaas). Zodra een request wordt gedaan naar een bepaalde host, worden automatisch de cookies van die host meegestuurd. Dit zijn eigenlijk third-party cookies. Zouden dit soort trucs niet meer werken als third-party cookies worden uitgeschakeld?

Technicality schreef op woensdag 24 maart 2010 @ 10:21:
[...]

Ik had nog nooit stilgestaand bij dit hele punt, maar wat is dan wél een nette oplossing?

Woy schreef op woensdag 24 maart 2010 @ 11:12:
Het zou kunnen hoor. Ik ben niet zo thuis in web-development. Maar ik dacht dat dingen als AddWords ook gewoon via javascript hun content ophaalden bij de google servers.

iH8 schreef op woensdag 24 maart 2010 @ 11:14:
[...]


ik zou een beginnen met het valideren van die imgtags. /logout is geen .jpg oid.

Janoz schreef op woensdag 24 maart 2010 @ 11:17:
[...]

*BUZZ* wrong. Er zijn genoeg valide plaatjes op het internet die keurig te bereiken zijn via een url die niet eindigd op een bekende image extentie. En ookal staat er een plaatje, dan kan de 'hacker' deze alsnog snel vervangen door een redirect header die alsnog naar de /logout url gaat.

[Voor 2% gewijzigd door iH8 op 24-03-2010 11:26. Reden: wat geucfirst etc]

mithras schreef op woensdag 24 maart 2010 @ 11:25:
Met extensies bereik je niets. Leg het dan een (klein) stapje hoger en kijk op mime/type niveau

Woy schreef op woensdag 24 maart 2010 @ 10:44:
[...]

Volgens mij zijn er geen restricties op het opvragen en posten naar een pagina in javascript.

[Voor 19% gewijzigd door .oisyn op 24-03-2010 11:42]

Olaf van der Spek schreef op woensdag 24 maart 2010 @ 11:38:
Wat heb ik een hekel aan developers die gebruikers dwingen dat soort domme dingen te doen...

Olaf van der Spek schreef op woensdag 24 maart 2010 @ 11:38:
[...]

Wat heb ik een hekel aan developers die gebruikers dwingen dat soort domme dingen te doen...

[Voor 20% gewijzigd door iH8 op 24-03-2010 11:55]

[Voor 32% gewijzigd door .oisyn op 24-03-2010 11:52]

.oisyn schreef op woensdag 24 maart 2010 @ 11:34:
[...]
XHR mag alleen naar het domein waar het script vandaan komt. Een andere mogelijkheid om te posten is middels een HTML form, maar dan kan het script weer niet bij het resultaat (ook niet via een hidden iframe oid), dus als er bij de POST ook nog een nonce of id vereist is is er geen manier om de logout te forgen.

[Voor 5% gewijzigd door Woy op 24-03-2010 12:06]

iH8 schreef op woensdag 24 maart 2010 @ 11:48:
@Oisyn: Ik gaf maar een voorbeeld ter illustratie. Je kunt de eventuele consequenties van het tonen van corrupte userinput voor een groot deel voorkomen door te zorgen dat een user die input niet eens posten kan. Ik hoef hier de voordelen van validatie toch niet uit te leggen of word ik nu gek?

[Voor 19% gewijzigd door .oisyn op 24-03-2010 12:03]

.oisyn schreef op woensdag 24 maart 2010 @ 11:51:
Maar ondertussen gaat het compleet aan je voorbij dat het een schijnveiligheid is dat niets oplost. Leuk dat je klanten geen klachten hebben, maar dat betekent nog niet dat je systeem verantwoord is. Als ik op een website, als "extra beveiliging" een vinkje toevoeg met het kopje "hiermee verklaar ik de persoon te zijn die ik zeg te zijn" hoeven klanten ook geen klachten te hebben. Maar in de werkelijkheid voegt het niets toe.

en het is "than"

iH8 schreef op woensdag 24 maart 2010 @ 12:04:
[...]


Ik zeg alleen dat ik de slimmerik die denkt een image als /logout te posten te snel af was geweest door een simpele check op correcte extensie. Dan heb ik toch gelijk?

Olaf van der Spek schreef op woensdag 24 maart 2010 @ 12:08:
[...]

Client-side? Of wilde je je eigen server hacken ofzo?

[Voor 10% gewijzigd door DanielG op 24-03-2010 12:14. Reden: grrmbl]

Anoniem: 156876 schreef op woensdag 24 maart 2010 @ 12:12:
[...]


Server-side op je eigen server, en dat plaatje invoeren bij een andere site.

[Voor 74% gewijzigd door .oisyn op 24-03-2010 12:16]

iH8 schreef op woensdag 24 maart 2010 @ 12:04:
[...]


Ik zeg alleen dat ik de slimmerik die denkt een image als /logout te posten te snel af was geweest door een simpele check op correcte extensie. Dan heb ik toch gelijk? Nu kan iedereen hier over elkaar heen vallen door mij proberen te leren dat dat qua beveiliging niets voor stelt, dat WEET ik. Ik controleer zelf helemaal niet op extensie, ik gaf een simpel voorbeeld. Een verkeerd voorbeeld blijkbaar, point taken.

.oisyn schreef op woensdag 24 maart 2010 @ 12:11:
[...]

Ah, is het je daarom te doen, het halen van technisch gelijk. Laat ik dan voorop stellen dat je nu de situatie verkeerd schetst, je zei namelijk dat je ermee moest beginnen. Nee, je begint met het opzetten van een fatsoenlijk systeem waarbij niet-idempotente acties via POST verlopen en bovendien een nonce/id vereisen. En als je dat gedaan hebt dan is het controleren op extensie voor dat doel ook nutteloos geworden.

Als je je voordeur vervangt zet je er ook niet eerst een voordeur zonder slot in om op een later tijdstip het slot in te bouwen, om de slimmerik die naar binnen wilt lopen iig alvast tegen te houden. De deur zet je er met slot en al in

kenneth schreef op woensdag 24 maart 2010 @ 12:20:
[...]

MrVegeta heeft als icon: http://no-illusions.nl/images.php

Dat is dus geen correcte extensie?

Filename extensions can be considered a type of metadata. They are commonly used to infer information about the way data might be stored in the file.

[Voor 18% gewijzigd door iH8 op 24-03-2010 12:38]

kenneth schreef op woensdag 24 maart 2010 @ 12:20:
MrVegeta heeft als icon: http://no-illusions.nl/images.php

Dat is dus geen correcte extensie?

iH8 schreef op woensdag 24 maart 2010 @ 12:31:
@Olaf, Daniel: lees aub even wat ik zeg alvorens nog tig mogelijkheden/exploits te gooien. Ik weet het jongens, nevermind.

Olaf van der Spek schreef op woensdag 24 maart 2010 @ 12:44:
[...]

Ik heb gelezen wat je schreef... Wat je zei heb ik helaas niet gehoord.

Waar komt die quote vandaan? HTTP gebruikt MIME content-type headers, geen extensies.

iH8 schreef op woensdag 24 maart 2010 @ 12:31:
[...]


Nee het gaat mij niet om het halen van gelijk. Ik wilde alleen zeggen dat je sommige dingen al afkunt vangen alvorens er naderhand omheen te moeten werken. Dat ik daarvoor het verkeerde voorbeeld gebruik, mijn fout. Je kunt er iets aan doen alvorens je hem in een img src gooit.

[Voor 27% gewijzigd door iH8 op 24-03-2010 13:01]

Woy schreef op woensdag 24 maart 2010 @ 10:44:
[...]

Wat ik me wel bedenk is dat je met dat stukje javascript natuurlijk niet de cookies van de huidige sessie meestuurt, en je dus geen andere sessie uit kan lezen, en dus ook niet uit kunt loggen.

mithras schreef op woensdag 24 maart 2010 @ 11:25:
Met extensies bereik je niets. Leg het dan een (klein) stapje hoger en kijk op mime/type niveau

[Voor 28% gewijzigd door Anoniem: 343818 op 24-03-2010 13:06]

iH8 schreef op woensdag 24 maart 2010 @ 12:59:
/me keyboardfaceplant

kenneth schreef op woensdag 24 maart 2010 @ 13:13:
[...]

Is dat nou een reactie op mijn post? Ik probeer je gewoon te volgen, ik snap namelijk het punt dat je probeert te maken niet. Of ik snap het probleem niet:

example.com heeft een GET-logoutimplementatie. Slecht, daar zijn we het over eens.
Dat kan je exploiten door bijv op forum.org een img-tag met het logoutadres als source te gebruiken.

Jij zegt: je moet je input checken.
Ik vraag dan: waarom moet forum.org iets checken om een exploit op example.com te voorkomen?

kenneth schreef op woensdag 24 maart 2010 @ 13:13:
[...]

Is dat nou een reactie op mijn post? Ik probeer je gewoon te volgen, ik snap namelijk het punt dat je probeert te maken niet. Of ik snap het probleem niet:

example.com heeft een GET-logoutimplementatie. Slecht, daar zijn we het over eens.
Dat kan je exploiten door bijv op forum.org een img-tag met het logoutadres als source te gebruiken.

Jij zegt: je moet je input checken.
Ik vraag dan: waarom moet forum.org iets checken om een exploit op example.com te voorkomen?

1

[img]/logout[/img]

iH8 schreef op woensdag 24 maart 2010 @ 12:31:
[...]
De purist in mij zegt van niet. Dat het kan en werkt weet ik, of ik het netjes vind, neej.
[...]

iH8 schreef op woensdag 24 maart 2010 @ 13:25:
Valideer je input gewoon _zo goed mogelijk_, voorkomt een hoop geouwehoer. Wat de beste manier is laat ik volkomen in het midden.

[Voor 52% gewijzigd door Voutloos op 24-03-2010 13:30]

[Voor 96% gewijzigd door Voutloos op 24-03-2010 13:30]

Voutloos schreef op woensdag 24 maart 2010 @ 13:28:
[...]
Als could have kan je heel behulpzaam checken of nu een plaatje is en geen 404, maar verder kan je niets doen.

1
2
3
4
5
6

if (isHackTurnedOn()) {
  header("Redirect: http://twearkes.net/logout");
} else {
  header( "Content-type: image/png" );
  fpassthrough($perfectlyNormalPngImageHandle);
}

[Voor 17% gewijzigd door Janoz op 24-03-2010 13:52]

iH8 schreef op woensdag 24 maart 2010 @ 14:00:
Nogmaals, ik val in herhaling maar toch: ik gaf maar een VOORBEELD van hoe simpel het zou kunnen betreffende die /logout case.

iH8 schreef op woensdag 24 maart 2010 @ 14:00:
@ de mensen die het serveren van content onder de verkeerde headers recht praten, sorry. Dat gaat er bij mij niet in. Ik weet dat het heel stoer is om een variabel avatartje te generen en te gebruiken op je favoriete messageboard ben dan ook zo pro om er een fatsoenlijke rewrite voor te schrijven. Geen half werk, perfectionist tot in de kist!

[Voor 9% gewijzigd door Voutloos op 24-03-2010 14:09]

Janoz schreef op woensdag 24 maart 2010 @ 09:33:
[...]

Nogmaals, een GET is in deze fout. GET is bedoeld voor idempotente acties. Dat wil zeggen, acties die niks aan de state veranderen. Acties die, wanneer ze meerdere keren aangeroepen worden, geen invloed hebben op de bron*. Met een uiltog actie wordt wel degelijk state veranderd en daarvoor zul je dus een POST moeten gebruiken.

1

<a href="/logout/?nonce=a354325asda">Logout</a>

1
2
3
4

<form method="post" name="logoutform" action="/logout/">
<input type="hidden" name="nonce" value="a354325asda">
</form>
<a href="#" onclick="document.logoutform.submit();">Log out</a>

.oisyn schreef op woensdag 24 maart 2010 @ 14:06:
[...]

Een heel slecht voorbeeld, en daarom viel men erover. Doe nou niet alsof je onrecht wordt aangedaan.

Voutloos schreef op woensdag 24 maart 2010 @ 14:09:
[...]
Dus kan je het niet afvangen. En imo (en ik ben blijkbaar niet de enige) kan je je dan het moeite van het afdwingen besparen.

[Voor 38% gewijzigd door iH8 op 24-03-2010 14:18]

BarôZZa schreef op woensdag 24 maart 2010 @ 14:09:
Ik vind het volgende

code:

1	<a href="/logout/?nonce=a354325asda">Logout</a>

nog altijd mooier dan

code:

1 2 3 4

<form method="post" name="logoutform" action="/logout/"> <input type="hidden" name="nonce" value="a354325asda"> </form> <a href="#" onclick="document.logoutform.submit();">Log out</a>

iH8 schreef op woensdag 24 maart 2010 @ 14:11:
Na meerdere excuses, tekst en uitleg vond ik het wel welletjes. Stelletje alphamannetjes hier.

BarôZZa schreef op woensdag 24 maart 2010 @ 14:09:
Wanneer je een logout met POST zou moeten doen icm een tekstlink, dan zou je of een tussenpagina moeten maken of een form met alleen maar hidden vars en een lelijke JavaScript form submit.

iH8 schreef op woensdag 24 maart 2010 @ 13:25:
[...]


Ik zag dat iemand opperde dat als je een post achterlaat alszijnde

code:

1	[img]/logout[/img]

dat iedereen die de output bekijkt per direct uitgelogd wordt.

[Voor 16% gewijzigd door Woy op 24-03-2010 14:20]

Matis schreef op woensdag 24 maart 2010 @ 14:13:
[...]

Over smaak valt natuurlijk niet te twisten, maar ik vind een eerste constructie mooier, maar laat (imo) ook zien dat de programmeur weet waar hij mee bezig is/was toen hij de code schreef. Persoonlijk zie ik liever zo weinig mogelijk *vervuiling* in URLs.

.oisyn schreef op woensdag 24 maart 2010 @ 14:17:
[...]

Als gebruiker vind ik een single-click logout link maar irritant. Ik zie liever een bevestigingsscherm. Ook zou ik graag de mogelijkheid zien om álle sessies uit te loggen en eventueel in te zien. T.net doet het wat dat betreft heel mooi.

BarôZZa schreef op woensdag 24 maart 2010 @ 14:24:
Vervuiling ga ik zoveel mogelijk tegen, gotta love de mod-rewrites . Maar onnodige forms en javascriptjes ben ik nog minder fan van vergeleken met één var in de url.

BarôZZa schreef op woensdag 24 maart 2010 @ 14:09:
Leuk, maar ik kijk liever naar wat voor invloed het zou hebben. POST gebruik ik in combinatie met een form, dus wanneer een gebruiker zelf input levert. GET voor wanneer dat niet het geval is. Bij counters en dergelijke zijn GET variabelen ook gebruikelijk. Wanneer je een logout met POST zou moeten doen icm een tekstlink, dan zou je of een tussenpagina moeten maken of een form met alleen maar hidden vars en een lelijke JavaScript form submit.

Technicality schreef op woensdag 24 maart 2010 @ 14:42:
Ik vind die oplossing met een Get + nonce (? wikipedia to the rescue, weer wat geleerd) het meest bruikbaar voor de kleine, vaak interne webapps die ik klus.

[Voor 19% gewijzigd door Woy op 24-03-2010 17:39]

Woy schreef op woensdag 24 maart 2010 @ 17:38:
[...]

Tja en als je dan toevallig een browser hebt die aan pre-loading van pagina's doet ( Wat gewoon toegestaan is ), dan word je op die site telkens uitgelogd.

Janoz schreef op woensdag 24 maart 2010 @ 17:28:
[...]

Het is niet een discussie tussen wat jij vindt en wat ik vind. Het is een discussie tussen wat jij vindt en wat de http specificaties dicteren.

netvor schreef op woensdag 24 maart 2010 @ 17:34:
Is het trouwens het/dit form of de/deze form? Is form net als topic?

[Voor 3% gewijzigd door Soultaker op 24-03-2010 18:02]

BarôZZa schreef op woensdag 24 maart 2010 @ 17:59:
In dat geval is het een discussie tussen de HTTP specificaties en tig van de meest gebruikte web apps. Als beproefde zaken als Wordpress het op die manier aanpakken, dan zie ik geen noodzaak om het te wijzigen.

Je ziet het ook bij validatiemailtjes met een http://www.domain.com/validate-account?nonce=6aa7f8e8f

Ja, dan kan je ongetwijfeld eerst de GET doen en vervolgens een form met een POST en dat controleren. In mijn ogen geheel overbodig. Ik zie die specificaties dan ook meer als richtlijnen dan als absolute wetten, hetzelfde geldt voor de W3 validaties. Goed om in je achterhoofd te houden, maar niet iets wat je altijd maar ten koste van alles moet toepassen.

Wat betreft pre-fetching: ik kan me niet voorstellen dat je op die manier dan uberhaubt fatsoenlijk kan surfen. Zelfs Google is al jaren geleden gestopt met hun Web Accelerator omdat het niet goed functioneerde en webservers onnodig belastte.

Janoz schreef op woensdag 24 maart 2010 @ 18:10:
Wat een gevolg is van de grote hoeveelheid prutsers die eigenlijk niet helemaal weten waar ze mee bezig zijn. Combineer dat met dat veel van die 'meest gebruikte web apps' vaak uit de hand gelopen hobby projecten zijn.

[Voor 16% gewijzigd door Soultaker op 24-03-2010 18:56]

[Voor 9% gewijzigd door Anoniem: 156876 op 24-03-2010 20:09]

Soultaker schreef op woensdag 24 maart 2010 @ 18:44:
Uitloggen moet weliswaar met een sessie-id.

1
2
3
4
5
6
7
8
9
10

<form method="post" action="http://tweakers.net/my.tnet/logout">
  <input type="hidden" name="logout" value="1">
  <input type="radio" name="option" value="this" checked id="logout_this">
    <label for="logout_this">Alleen deze sessie beëindigen</label>
  <input type="radio" name="option" value="all" id="logout_all">
    <label for="logout_all">Al mijn sessies beëindigen</label>
  <input type="radio" name="option" value="allbutthis" id="logout_allbutthis">
    <label for="logout_allbutthis">Al mijn sessies beëindigen, behalve deze</label>
  <input type="submit" value="Uitloggen" accesskey="s" class="submitbuttonLarge">
</form>

[Voor 19% gewijzigd door EdwinG op 24-03-2010 20:25]