你能幫我解決使用asp.net 2.0時發現的CSRF問題嗎?csrf令牌,安全問題?
問題描述:
[3 1]跨站請求僞造 嚴重性:中 測試類型:應用 弱勢網址:https://somesite/somepage.aspx 整治任務:拒絕惡意請求
推理: 的相同的請求在不同的會話中發送了兩次,並收到相同的響應。 這表明沒有任何參數是動態的(會話標識符僅在 Cookie中發送),因此應用程序容易受到此問題的影響。
你能幫我解決使用asp.net 2.0時發現的CSRF問題嗎?csrf令牌,安全問題?
問題描述:
[3 1]跨站請求僞造 嚴重性:中 測試類型:應用 弱勢網址:https://somesite/somepage.aspx 整治任務:拒絕惡意請求
推理: 的相同的請求在不同的會話中發送了兩次,並收到相同的響應。 這表明沒有任何參數是動態的(會話標識符僅在 Cookie中發送),因此應用程序容易受到此問題的影響。
我建議閱讀CSRF以確定你想要保護什麼以及爲什麼。基本上,CSRF的問題是攻擊者可以冒充你並獲取你的數據。您可以通過在請求中傳遞會話信息來改變這一點,而不僅僅是來自cookie。這會使您的會話免受此類攻擊的影響。這是一個更好的解釋比我能給:
http://palisade.plynt.com/issues/2008Jun/cross-site-request-forgery/
這裏是安全問題(包括CSRF)兩部分的文章,以及如何解決這些問題:
http://palisade.plynt.com/issues/2009Dec/secure-coding-aspdotnet/
http://palisade.plynt.com/issues/2010Apr/secure-coding-aspdotnet-p2/
還有一個名爲AntiCSRF的CodePlex項目,可以很容易地解決這些類型的問題(雖然它在一段時間內還沒有更新):