1
你能幫我解決使用asp.net 2.0時發現的CSRF問題嗎?csrf令牌,安全問題?
問題描述:
[3 1]跨站請求僞造 嚴重性:中 測試類型:應用 弱勢網址:https://somesite/somepage.aspx 整治任務:拒絕惡意請求
推理: 的相同的請求在不同的會話中發送了兩次,並收到相同的響應。 這表明沒有任何參數是動態的(會話標識符僅在 Cookie中發送),因此應用程序容易受到此問題的影響。
A
回答
1
我建議閱讀CSRF以確定你想要保護什麼以及爲什麼。基本上,CSRF的問題是攻擊者可以冒充你並獲取你的數據。您可以通過在請求中傳遞會話信息來改變這一點,而不僅僅是來自cookie。這會使您的會話免受此類攻擊的影響。這是一個更好的解釋比我能給:
http://palisade.plynt.com/issues/2008Jun/cross-site-request-forgery/
這裏是安全問題(包括CSRF)兩部分的文章,以及如何解決這些問題:
http://palisade.plynt.com/issues/2009Dec/secure-coding-aspdotnet/
http://palisade.plynt.com/issues/2010Apr/secure-coding-aspdotnet-p2/
還有一個名爲AntiCSRF的CodePlex項目,可以很容易地解決這些類型的問題(雖然它在一段時間內還沒有更新):
相關問題
- 1. CSRF令牌春季安全
- 2. Trello令牌安全問題?
- 3. Csrf令牌縮放問題
- 4. CodeIgniter的CSRF令牌問題
- 5. AngularJS訪問令牌安全問題
- 6. 安全令牌問題請求
- 7. csrf令牌問題與多個模板
- 8. httplib - CSRF令牌
- 9. 笨,CSRF令牌
- 10. csrf令牌dajaxice
- 11. Salesforce安全令牌
- 12. 是否通過API(未嵌入HTML)檢索CSRF令牌安全/安全?
- 13. 無法驗證CSRF令牌! Angular 2和彈簧安全
- 14. CSRF驗證令牌:會話ID安全嗎?
- 15. 預期CSRF令牌沒有發現春季安全
- 16. Spring安全中每個請求的不同csrf令牌
- 17. 暴露會話的CSRF保護令牌安全嗎?
- 18. 這是設置令牌CSRF的安全方式嗎?
- 19. Laravel SPA應該使用CSRF令牌來保證安全嗎?
- 20. csrf令牌使用
- 21. CSRF令牌生成
- 22. Laravel behat CSRF令牌
- 23. 避免CSRF令牌
- 24. 瞭解CSRF令牌
- 25. csrf令牌跟進
- 26. Flask-Security CSRF令牌
- 27. CSRF同步令牌
- 28. Django的CSRF令牌
- 29. CSRF令牌驗證
- 30. 變化CSRF令牌