0
如果我爲我的web應用程序使用RSA身份驗證,那麼我仍然需要通過使用令牌來處理CSRF攻擊,否則RSA身份驗證將負責處理它。RSA身份驗證和CSRF攻擊
A
回答
0
那要看你實現... RSA本身無關CSRF ...
認證模式可以提供一些保護(如果你讓用戶簽署所有它例如是輸入) ,但老實說:保護用戶輸入來自csrf的協議是什麼?
在服務器端,在登錄創建存儲在用戶會話中的鹽,計算哈希(CURRENT_TIMESTAMP,鹽)每次你需要保護的用戶輸入,並賦予該值+ CURRENT_TIMESTAMP爲隱藏字段的形式。 ..當你收到用戶輸入,得到鹽,並重新計算值...如果這一個匹配你從客戶端得到的,它不可能通過csrf來輸入...
因爲你絕不要將鹽暴露給用戶,對用戶或攻擊者來說,沒有任何辦法(除非直接從會話數據庫中獲取,這意味着受損系統)...
相關問題
- 1. RSA身份驗證問題
- 2. 無CSRF令牌的身份驗證
- 3. 表單身份驗證 - Cookie重播攻擊 - 保護
- 4. CSRF攻擊和餅乾
- 5. Meteor.js和CSRF/XSS攻擊
- 6. Spring Security和CSRF攻擊
- 7. 模擬CSRF攻擊
- 8. 跳過JSON POST API的用戶和csrf身份驗證
- 9. 登錄,用戶身份驗證,會話和csrf令牌
- 10. RSA如何保持身份驗證和不可否認
- 11. 多個身份驗證方案和WWW身份驗證挑戰
- 12. Azure身份驗證和OAuth身份驗證
- 13. 是SQL Server身份驗證和Windows身份驗證
- 14. 表單身份驗證和身份驗證票據Cookie域
- 15. Ajax:HTTP基本身份驗證和身份驗證Cookie
- 16. RESTful端點的身份驗證 - 基本身份驗證和XHR
- 17. Windows身份驗證和表單身份驗證
- 18. Google身份驗證和Facebook身份驗證
- 19. CakePHP 2.0身份驗證和基本身份驗證
- 20. Firefox不顯示身份驗證提示和Windows身份驗證
- 21. JWT身份驗證和用戶驗證
- 22. Cloudant身份驗證和XACML
- 23. HTTPS和BASIC身份驗證
- 24. Web2py和AFS身份驗證
- 25. AngularJS和Firebase身份驗證
- 26. WCF和身份驗證
- 27. 身份驗證和REST
- 28. Cookie和身份驗證-ASP.net
- 29. URLDownloadToFile和身份驗證
- 30. Powershell,svn和身份驗證