@fastify/passport — это порт библиотеки аутентификации passport для экосистемы Fastify. Защита CSRF (Cross-Site Request Forger), обеспечива…
@fastify/passport — это порт библиотеки аутентификации passport для экосистемы Fastify. Защита CSRF (Cross-Site Request Forger), обеспечиваемая библиотекой `@fastify/csrf-protection` в сочетании с `@fastify/passport` в затронутых версиях, может быть обойдена сетевыми злоумышленниками и злоумышленниками, находящимися в том же сайте. `fastify/csrf-protection` реализует шаблон токена синхронизатора (используя плагины `@fastify/session` и `@fastify/secure-session`), сохраняя случайное значение, используемое для генерации CSRF-токена, в атрибуте `_csrf` сеанса пользователя. Библиотека `@fastify/passport` не очищает объект сеанса после аутентификации, сохраняя атрибут `_csrf` между сеансами до входа в систему и аутентифицированными сеансами. Следовательно, CSRF-токены, сгенерированные до аутентификации, остаются действительными. Таким образом, сетевые злоумышленники и злоумышленники, находящиеся в том же сайте, могут получить CSRF-токен для своего предварительного сеанса, зафиксировать этот предварительный сеанс в браузере жертвы посредством перебрасывания cookie, а затем выполнить CSRF-атаку после аутентификации жертвы. В качестве решения новые версии `@fastify/passport` включают параметры конфигурации: `clearSessionOnLogin (по умолчанию: true)` и `clearSessionIgnoreFields (по умолчанию: ['passport', 'session'])` для очистки всех атрибутов сеанса по умолчанию, сохраняя те, которые явно определены в `clearSessionIgnoreFields`.
Веб-приложение не может или не способно надлежащим образом проверить, был ли запрос намеренно отправлен пользователем, от имени которого он поступил, тогда как он мог исходить от неавторизованного субъекта.
https://cwe.mitre.org/data/definitions/352.html →Открыть в коллекции CWE →Злоумышленник создаёт вредоносные веб-ссылки и распространяет их (через веб-страницы, электронную почту и т. п.), как правило, целенаправленно, рассчитывая побудить пользователей перейти по ссылке и выполнить вредоносное действие в отношении стороннего приложения. В случае успеха действие, встроенное во вредоносную ссылку, будет обработано и принято целевым приложением с уровнем привилегий пользователя. Данный тип атаки эксплуатирует постоянство и неявное доверие к сеансовым cookie-файлам пользователей, на которые опираются многие современные веб-приложения. В такой архитектуре после аутентификации пользователя в приложении и создания сеансового cookie-файла в его системе все последующие транзакции в рамках сеанса аутентифицируются с использованием этого cookie-файла, включая потенциальные действия, инициированные злоумышленником и просто «эксплуатирующие» существующий сеансовый cookie.
https://capec.mitre.org/data/definitions/62.html →Открыть в коллекции CAPEC →Злоумышленник атакует систему, использующую нотацию объектов JavaScript (JSON) в качестве транспортного механизма между клиентом и сервером (характерно для систем Web 2.0 на базе AJAX), с целью похищения потенциально конфиденциальных данных, передаваемых сервером клиенту в JSON-объекте. Атака основана на лазейке в политике одного источника браузера, которая не запрещает включение и выполнение JavaScript одного веб-сайта в контексте другого.
https://capec.mitre.org/data/definitions/111.html →Открыть в коллекции CAPEC →Злоумышленник инициирует межсайтовые HTTP / GET-запросы и измеряет время отклика сервера. Данные о времени отклика могут раскрывать важную информацию о происходящем на сервере. Политика единого источника браузера не позволяет злоумышленнику напрямую читать ответы сервера (при отсутствии других уязвимостей), однако не препятствует измерению времени отклика на запросы, инициированные злоумышленником из другого домена.
https://capec.mitre.org/data/definitions/462.html →Открыть в коллекции CAPEC →Злоумышленник собирает идентификационные данные о жертве через активную сессию, которую браузер жертвы поддерживает с социальной сетью. Жертва может держать социальную сеть открытой в одной из вкладок или использовать функцию «запомнить меня» для поддержания активной сессии. Злоумышленник внедряет полезную нагрузку, выполняющуюся в браузере жертвы и незаметно для неё инициирующую запрос к социальной сети (например, через доступные API социальной сети) с целью получения идентификационных данных жертвы. Хотя часть этих данных может быть публичной, злоумышленник получает её в контексте и может использовать для дальнейших атак на пользователя (например, целевого фишинга).
https://capec.mitre.org/data/definitions/467.html →Открыть в коллекции CAPEC →