Web

CSRF támadások elleni védekezés csurf és Express.js használatával

iranyonline 0

A modern webalkalmazások fejlesztése során a biztonság az egyik legkritikusabb szempont. Nap mint nap hallunk adatszivárgásokról és hackertámadásokról, amelyek súlyos anyagi és reputációs károkat okozhatnak. A fejlesztők gyakran fókuszálnak az XSS (Cross-Site Scripting) és az SQL Injekció elleni védekezésre, ám van egy alattomos, kevésbé „látványos” támadási forma, amely ugyanolyan pusztító lehet: a CSRF támadás, avagy Cross-Site Request Forgery. Ebben a cikkben részletesen bemutatjuk, mi is a CSRF, miért jelent komoly veszélyt, és hogyan védekezhetünk ellene hatékonyan az Express.js keretrendszerben a népszerű csurf middleware segítségével.

Mi az a CSRF Támadás, és Miért Veszélyes?

Képzeljük el, hogy bejelentkezett a bankja online felületére, majd miközben még aktív a munkamenete (azaz a böngészője tárolja a hitelesítő sütiket), megnyit egy másik, rosszindulatú weboldalt. A támadó weboldal egy rejtett formot vagy egy kérelmet tartalmaz, amely pontosan úgy néz ki, mint egy legitim tranzakció (például pénzátutalás) a bankja oldalán. Mivel be van jelentkezve, a böngészője automatikusan csatolja a hitelesítő sütiket ehhez a kérelemhez is, és a bank szervere azt hiszi, Ön kezdeményezte az átutalást. Ez egy CSRF támadás lényege: a támadó egy legitim, hitelesített felhasználó nevében hajtat végre akaratlanul műveleteket egy megbízható webhelyen.

A CSRF (Cross-Site Request Forgery) támadás során a támadó kihasználja a felhasználó böngészőjének megbízhatóságát, és azt, hogy a böngészők automatikusan elküldik a sütiket (session cookie-kat) az adott domainre irányuló kérésekkel együtt. A célpont általában olyan műveletek, amelyek a felhasználó adatain módosítanak (pl. jelszóváltoztatás, felhasználói adatok módosítása, pénzátutalás, rendelés leadása). A támadó nem fér hozzá a felhasználó hitelesítő adataihoz, de rábírja a böngészőt, hogy a nevében, az ő engedélye nélkül küldjön el egy kérést a céloldalra.

A CSRF Támadás Anatómia: Egy Példa

Nézzünk egy konkrét példát egy bankszámla átutalására. Tegyük fel, hogy a bankunk oldala a következő POST kérést várja el egy átutaláshoz:

POST /transfer HTTP/1.1
Host: yourbank.com
Cookie: sessionid=abcdef123456...

amount=100&toAccount=attackerAccount

Egy CSRF támadás során a támadó létrehozhat egy egyszerű HTML oldalt, amely a következő kódot tartalmazza:

<html>
  <body>
    <form action="https://yourbank.com/transfer" method="POST">
      <input type="hidden" name="amount" value="1000000" />
      <input type="hidden" name="toAccount" value="attackerAccount" />
      <input type="submit" value="Kattintson ide a nyereményért!" />
    </form>
    <script>
      // Vagy akár automatikusan elküldeni a formot JavaScripttel
      document.forms[0].submit();
    </script>
  </body>
</html>

Amikor egy bejelentkezett felhasználó megnyitja ezt az oldalt (akár egy e-mail linken keresztül, akár egy fertőzött hirdetésből), a böngésző automatikusan elküldi a formot a bank weboldalára. Mivel a felhasználó be van jelentkezve a bankba, a böngészője csatolja a munkamenet sütijét, és a bank szervere úgy fogja kezelni ezt a kérést, mintha a legitim felhasználó indította volna el az átutalást az attackerAccount részére. Ez súlyos következményekkel járhat!

Miért Van Szükségünk Védekezésre?

A böngészőkben beépített biztonsági mechanizmusok, mint például a Same-Origin Policy (SOP), segítenek megakadályozni, hogy egy rosszindulatú webhely közvetlenül hozzáférjen egy másik webhely erőforrásaihoz. Azonban a SOP nem véd a CSRF ellen, mivel a böngésző továbbra is elküldi a kéréseket, még akkor is, ha azokat egy másik domainről indítják. Csak azt akadályozza meg, hogy a támadó *olvassa* a választ. Ahhoz, hogy megvédjük magunkat, szükségünk van egy olyan mechanizmusra, amely igazolja, hogy a kérés valóban az alkalmazásunkon keresztül, a felhasználó szándékával összhangban érkezett.

A CSRF Token Titka: Szinkronizált Token Minta

A leggyakoribb és leghatékonyabb védekezési módszer a Synchronizer Token Pattern, azaz a szinkronizált token minta. Ennek lényege a következő:

  1. Amikor a felhasználó betölt egy oldalt, amely egy formot vagy egy állapotot módosító műveletet tartalmaz, a szerver generál egy egyedi, titkos, és nehezen kitalálható tokent.
  2. Ez a CSRF token beágyazódik az oldalba (pl. egy rejtett input mezőként egy HTML formban, vagy egy JavaScript változóba).
  3. Amikor a felhasználó elküldi a formot vagy AJAX kérést indít, a kliens elküldi ezt a tokent is a kéréssel együtt.
  4. A szerver a kérés feldolgozása előtt ellenőrzi, hogy a token a kérésben megegyezik-e a szerver által generált, a felhasználó munkamenetéhez (session) társított tokenrel.
  5. Ha a két token egyezik, a kérés legitimnek minősül, és feldolgozásra kerül. Ha nem egyezik, vagy hiányzik, a szerver elutasítja a kérést.

Miért működik ez? Mivel a támadó webhely nem tudja lekérni a legitim webhelyről generált tokent (a Same-Origin Policy miatt), nem tud érvényes kérést hamisítani a felhasználó nevében. Ez a token egyfajta „ujjlenyomatként” szolgál, igazolva, hogy a kérés az Ön webalkalmazásából, és nem egy külső, rosszindulatú forrásból érkezett.

Ismerjük Meg a csurf Middleware-t

Az Express.js alkalmazások számára az egyik legkényelmesebb és legelterjedtebb módja a CSRF védelem implementálásának a csurf middleware. Ez a modul automatizálja a CSRF tokenek generálását, beállítását és validálását, így a fejlesztőknek csak a beillesztésre és a tokenek frontend oldali kezelésére kell figyelniük. A csurf a Synchronizer Token Pattern-re épül, és szorosan együttműködik az Express.js munkamenet-kezelőivel (például express-session) és a sütikezelővel (cookie-parser).

Lépésről Lépésre: csurf Integráció Express.js Alkalmazásba

Az alábbiakban bemutatjuk, hogyan integrálhatja a csurf-öt egy tipikus Express.js alkalmazásba. Feltételezzük, hogy már van egy alapvető Express.js beállítása.

1. Függőségek Telepítése

Először is telepítenünk kell a szükséges csomagokat:

npm install csurf cookie-parser express-session
  • csurf: A CSRF védelmet biztosító middleware.
  • cookie-parser: Szükséges a munkamenet azonosító (session ID) kiolvasásához a sütikből.
  • express-session: A munkamenetek kezeléséhez, mivel a CSRF tokeneket a felhasználói munkamenethez kötjük.

2. Express.js Alkalmazás Konfigurációja

Ezután illesszük be ezeket a middleware-eket az Express.js alkalmazásunkba:

const express = require('express');
const cookieParser = require('cookie-parser');
const session = require('express-session');
const csrf = require('csurf');

const app = express();

// 1. Sütikezelő (Cookie Parser)
// Feltétlenül a session middleware ELŐTT kell futnia!
app.use(cookieParser());

// 2. Munkamenet-kezelő (Express Session)
// Ez tárolja a CSRF tokeneket a szerver oldalon.
app.use(session({
  secret: 'egy_nagyon_eros_es_titkos_kulcs', // Cseréld le egy egyedi, erős kulcsra!
  resave: false,
  saveUninitialized: true,
  cookie: {
    // A secure: true beállítást éles környezetben (HTTPS) mindig használd!
    // secure: true,
    httpOnly: true, // Megakadályozza a kliensoldali JavaScript hozzáférését a sütihöz
    maxAge: 1000 * 60 * 60 * 24 // 24 óra érvényesség
  }
}));

// 3. CSRF Middleware
// Feltétlenül a session middleware UTÁN kell futnia!
// A `cookie: true` beállítás azt jelenti, hogy a token a sütiben is tárolódik
// ez hasznos SPA-k (Single Page Application) esetén.
const csrfProtection = csrf({ cookie: true });

// Példa egy útvonalra, ami igényli a CSRF védelmet
app.get('/', csrfProtection, (req, res) => {
  // A csrfProtection middleware a req.csrfToken() metódussal teszi elérhetővé a tokent
  const csrfToken = req.csrfToken();
  res.send(`
    <h1>Üdv a kezdőoldalon!</h1>
    <p>CSRF Token: <strong>${csrfToken}</strong></p>
    <form action="/process" method="POST">
      <input type="hidden" name="_csrf" value="${csrfToken}">
      <input type="text" name="data" placeholder="Valamilyen adat">
      <button type="submit">Küldés</button>
    </form>
  `);
});

// CSRF védelemmel ellátott POST útvonal
app.post('/process', express.urlencoded({ extended: false }), csrfProtection, (req, res) => {
  // Ha idáig eljutunk, a CSRF token validálva lett.
  res.send(`A kérés sikeresen feldolgozva: ${req.body.data}`);
});

// CSRF hiba kezelő
// Ez a middleware kezeli a 'EBADCSRFTOKEN' hibát
app.use((err, req, res, next) => {
  if (err.code === 'EBADCSRFTOKEN') {
    res.status(403).send('Érvénytelen CSRF token! A kérés elutasítva.');
  } else {
    next(err);
  }
});

const PORT = 3000;
app.listen(PORT, () => {
  console.log(`Szerver fut a http://localhost:${PORT} címen`);
});

Magyarázat:

  • A cookieParser() middleware-t *először* kell betölteni, hogy az Express képes legyen olvasni a bejövő sütiket.
  • Az express-session middleware beállítja a felhasználói munkamenetet, amelyben a csurf tárolni fogja a generált tokeneket. Ne felejtsen el egy erős, titkos secret kulcsot használni!
  • A csrf({ cookie: true }) middleware a munkamenet UTÁN kell, hogy fusson. A cookie: true paraméter azt mondja a csurf-nek, hogy a felhasználói munkamenethez rendelt CSRF token hash-ét egy süti formájában is elküldje a kliensnek. Ez nem maga a token, hanem egy annak ellenőrzésére szolgáló hash, ami hasznos SPA-k esetén.
  • A req.csrfToken() metódus generálja és adja vissza a tokent, amelyet be kell ágyazni a HTML formokba vagy a JavaScript kérésekbe.
  • A POST kérésekhez a csrfProtection middleware-t közvetlenül az útvonal előtt kell alkalmazni, hogy az ellenőrizze a bejövő kérést.
  • Fontos az Express.js hiba kezelő middleware, amely a EBADCSRFTOKEN hibát kezeli. Ha egy kérés érvénytelen vagy hiányzó tokennel érkezik, a csurf ezt a hibát dobja.

csurf a Gyakorlatban: Frontend Integráció

Ahhoz, hogy a védelem működjön, a generált tokent el is kell küldeni a szervernek. Ennek két fő módja van:

1. Server-Side Rendered (SSR) Views (EJS, Pug, Handlebars, stb.)

A fenti példában már láthattuk, hogyan kell beágyazni a tokent egy HTML formba egy rejtett input mezőként:

<form action="/process" method="POST">
  <input type="hidden" name="_csrf" value="<%= csrfToken %>">
  <input type="text" name="data" placeholder="Valamilyen adat">
  <button type="submit">Küldés</button>
</form>

Itt a _csrf nevű hidden input mezőbe kerül a token értéke. A csurf automatikusan ellenőrzi a _csrf mezőt a bejövő POST kérésekben.

2. Client-Side Rendered (SPA – React, Vue, Angular) és AJAX Kérések

Egyoldalas alkalmazások (SPA) vagy AJAX kérések esetén a token beágyazása kicsit másképp történik. A tokent valahogyan elérhetővé kell tenni a JavaScript számára.

A token elérhetővé tétele:

  • Beágyazás egy meta tag-be az oldal fejléjébe: 
    <head>
  <meta name="csrf-token" content="<%= csrfToken %>">
</head>
  • Vagy egy globális JavaScript változóba: 
    <script>
  window.csrfToken = "<%= csrfToken %>";
</script>

AJAX kérések küldése a tokennel (pl. Fetch API vagy Axios):

Amikor AJAX kérést indítunk, a tokent általában egy HTTP fejlécben (pl. X-CSRF-Token) küldjük el. Emlékezzen, a csurf alapértelmezetten a _csrf mezőt várja a formokban, de a headereket is tudja ellenőrizni, ha a token ott van.

// Token lekérése a meta tag-ből
const csrfToken = document.querySelector('meta[name="csrf-token"]').getAttribute('content');

// Példa Fetch API-val
fetch('/api/data', {
  method: 'POST',
  headers: {
    'Content-Type': 'application/json',
    'X-CSRF-Token': csrfToken // Token küldése a fejlécben
  },
  body: JSON.stringify({ item: 'új elem' })
})
.then(response => response.json())
.then(data => console.log(data))
.catch(error => console.error('Hiba:', error));

// Példa Axios-szal (ha telepítve van)
// axios.defaults.headers.common['X-CSRF-Token'] = csrfToken; // Beállítható globálisan is
// axios.post('/api/data', { item: 'új elem' })
//   .then(response => console.log(response.data))
//   .catch(error => console.error('Hiba:', error));

Fontos Megfontolások és Tippek a csurf Használatához

1. Token Frissítés és Élettartam

A CSRF token élettartama általában a felhasználói munkamenethez (session) kötődik. Amikor a felhasználó kijelentkezik vagy a munkamenet lejár, a token is érvénytelenné válik. Fontos, hogy ha a felhasználó hosszú ideig ugyanazon az oldalon marad, és a token „megöregedhet”, frissíteni kell azt. SPA-k esetén ez azt jelentheti, hogy bizonyos időközönként újra kell lekérni a tokent a szervertől, vagy minden oldalbetöltéskor/újraindításkor frissíteni. Általában azonban a session cookie élettartama garantálja, hogy a token is elég hosszú ideig érvényes marad.

2. GET Kérések és CSRF

A CSRF védelem kizárólag olyan HTTP metódusokhoz (POST, PUT, DELETE, PATCH) szükséges, amelyek állapotot változtatnak a szerveren. A GET kéréseket soha nem szabad állapotváltoztató műveletekre használni, mert ezek nem védhetők CSRF tokenekkel (a böngésző előre lekérheti, prefetch-elheti őket, vagy egyszerűen URL-ként megnyithatók). A csurf middleware alapértelmezetten csak a nem-GET, HEAD és OPTIONS kéréseket ellenőrzi.

3. XSS Elleni Védelem: Nem Helyettesíti a CSRF Token

Fontos megérteni, hogy a CSRF token nem véd a Cross-Site Scripting (XSS) támadások ellen. Ha egy támadó XSS sebezhetőséget talál az alkalmazásában, be tud injektálni saját JavaScript kódot az oldalra. Ez a kód képes lesz lekérni a CSRF tokent az oldalról (pl. a rejtett input mezőből vagy egy meta tagből), és azt felhasználva legitimnek tűnő kéréseket küldeni a felhasználó nevében. Ezért az XSS elleni védekezés (pl. input validáció, kimeneti sanitizálás) ugyanolyan kritikus, mint a CSRF védelem. A webbiztonság rétegzett védelemről szól!

4. SameSite Cookie Attribútum: Kiegészítő Védelem

A SameSite cookie attribútum egy modern böngésző funkció, amely jelentősen növeli a CSRF elleni védelem hatékonyságát. Ez az attribútum szabályozza, hogy egy süti mikor küldhető el a böngésző által egy harmadik féltől származó kéréssel együtt.

  • SameSite=Lax: Ez az alapértelmezett érték ma már. A sütik csak akkor kerülnek elküldésre, ha a kérés ugyanarról az oldalról származik, vagy egy felső szintű navigáció (pl. linkre kattintás) következtében. Nem küld el sütiket „harmadik féltől származó” (cross-site) kérésekhez, pl. <img> tagek, <iframe>-ek, vagy AJAX kérések esetén.
  • SameSite=Strict: A sütik csak akkor kerülnek elküldésre, ha a kérés *pontosan ugyanarról a domainről* származik. Ez a legszigorúbb védelem, de problémákat okozhat külső linkekről érkező látogatóknak. Kritikus műveletekhez ajánlott.
  • SameSite=None; Secure: Lehetővé teszi a sütik küldését cross-site kérésekkel, de *csak HTTPS* kapcsolaton keresztül. Ezt olyan esetekben használják, amikor a sütikre valóban szükség van külső szolgáltatók (pl. beágyazott widgetek, harmadik féltől származó autentikáció) számára.

Az express-session beállításaiban érdemes használni a SameSite=Lax (vagy Strict) paramétert a session cookie-hoz, mint egy kiegészítő védelmi réteget a csurf mellé. Ez nem helyettesíti a CSRF tokent, de extra biztonságot nyújt.

5. HTTPS Mindig!

Bár nem közvetlenül CSRF specifikus, az HTTPS használata alapvető fontosságú minden webalkalmazás számára. Megakadályozza a hálózaton keresztüli adatlehallgatást (eavesdropping) és a man-in-the-middle támadásokat, biztosítva, hogy a tokenek és más érzékeny adatok titkosítva utazzanak a kliens és a szerver között.

6. Statikus Fájlok Kézben Tartása

A csurf middleware-t ne alkalmazza olyan útvonalakra, amelyek statikus fájlokat szolgálnak ki (képek, CSS, JavaScript fájlok), mivel ezek nem igénylik a CSRF védelmet, és feleslegesen lassíthatják a kiszolgálásukat.

7. API-k és Mobil Alkalmazások

Ha az Express.js backendet egy API-ként használja, amelyet mobil alkalmazások vagy más SPA-k fogyasztanak, amelyek nem sütiken alapuló hitelesítést (pl. Bearer token, JWT) használnak, akkor a CSRF támadások kockázata jelentősen csökkenhet, mivel a támadó nem tudja rávenni a böngészőt, hogy automatikusan elküldje a hitelesítő tokent. Azonban az API-k biztonsága is kritikus, és más támadások (pl. API kulcs lopás, adathalászat) ellen védekezni kell.

Gyakori Hibák és Elkerülésük

  • Elfelejtett Token Beágyazás: A leggyakoribb hiba, hogy a fejlesztők telepítik a csurf-öt, de elfelejtik beágyazni a tokent a frontend formokba vagy AJAX kérésekbe. Eredmény: „Érvénytelen CSRF token” hiba.
  • Helytelen Error Handling: Nem implementált hiba kezelő a EBADCSRFTOKEN hibára. Ez a felhasználó számára rossz élményt nyújt, és nem ad tájékoztatást a problémáról.
  • GET Kérések Használata Állapotváltoztatásra: Súlyos biztonsági hiba, ami sérülékennyé tesz a CSRF ellen, még tokenek mellett is. Mindig POST/PUT/DELETE kéréseket használjon állapotot módosító műveletekhez.
  • Nem Megfelelő Session Konfiguráció: Gyenge secret kulcs, vagy nem biztonságos cookie beállítások (pl. hiányzó httpOnly vagy secure attribútum éles környezetben) gyengítik a védelem alapjait.
  • XSS Sebezhetőségek Elhanyagolása: Ahogy említettük, az XSS az CSRF védelem Achilles-sarka lehet. Mindig védekezzünk XSS ellen is!

Összefoglalás és Jövőbeli Kilátások

A CSRF támadások egy komoly, de gyakran alulértékelt fenyegetést jelentenek a webalkalmazások számára. Az csurf middleware Express.js-szel kombinálva egy rendkívül hatékony és viszonylag egyszerűen implementálható megoldást nyújt ezen támadások kivédésére a Synchronizer Token Pattern alkalmazásával.

A biztonság azonban nem egy egyszeri beállítás, hanem egy folyamatos folyamat. Mindig tartsa naprakészen a függőségeit, kövesse a legjobb gyakorlatokat, és ismerje meg az új biztonsági funkciókat (mint a SameSite cookie attribútum). A webfejlesztés során a biztonság nem egy opcionális extra, hanem az alkalmazás alapköve. Az átfogó védelem érdekében mindig gondoljon a rétegzett biztonságra, és védekezzen a támadások széles spektruma ellen, beleértve a láthatatlan, de annál veszélyesebb CSRF-et is.

Reméljük, ez a részletes útmutató segít Önnek abban, hogy Express.js alkalmazásait biztonságosabbá tegye, és megvédje felhasználóit a rosszindulatú támadásoktól.

Kapcsolódó

Leave a Reply

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük