1
你能帮我解决使用asp.net 2.0时发现的CSRF问题吗?csrf令牌,安全问题?
问题描述:
[3 1]跨站请求伪造 严重性:中 测试类型:应用 弱势网址:https://somesite/somepage.aspx 整治任务:拒绝恶意请求
推理: 的相同的请求在不同的会话中发送了两次,并收到相同的响应。 这表明没有任何参数是动态的(会话标识符仅在 Cookie中发送),因此应用程序容易受到此问题的影响。
A
回答
1
我建议阅读CSRF以确定你想要保护什么以及为什么。基本上,CSRF的问题是攻击者可以冒充你并获取你的数据。您可以通过在请求中传递会话信息来改变这一点,而不仅仅是来自cookie。这会使您的会话免受此类攻击的影响。这是一个更好的解释比我能给:
http://palisade.plynt.com/issues/2008Jun/cross-site-request-forgery/
这里是安全问题(包括CSRF)两部分的文章,以及如何解决这些问题:
http://palisade.plynt.com/issues/2009Dec/secure-coding-aspdotnet/
http://palisade.plynt.com/issues/2010Apr/secure-coding-aspdotnet-p2/
还有一个名为AntiCSRF的CodePlex项目,可以很容易地解决这些类型的问题(虽然它在一段时间内还没有更新):
相关问题
- 1. CSRF令牌春季安全
- 2. CodeIgniter的CSRF令牌问题
- 3. Csrf令牌缩放问题
- 4. AngularJS访问令牌安全问题
- 5. 安全令牌问题请求
- 6. csrf令牌问题与多个模板
- 7. 笨,CSRF令牌
- 8. Salesforce安全令牌
- 9. 无法验证CSRF令牌! Angular 2和弹簧安全
- 10. 暴露会话的CSRF保护令牌安全吗?
- 11. 预期CSRF令牌没有发现春季安全
- 12. Spring安全中每个请求的不同csrf令牌
- 13. Laravel SPA应该使用CSRF令牌来保证安全吗?
- 14. CSRF验证令牌:会话ID安全吗?
- 15. Django的CSRF令牌
- 16. 变化CSRF令牌
- 17. CSRF同步令牌
- 18. CSRF令牌生成
- 19. CSRF安全风险,如果验证令牌在标题而不是POST正文
- 20. Oauth2访问令牌安全问题+ angular 2
- 21. 显示OAuth访问令牌安全吗?
- 22. Spring安全OAuth2 - 验证访问令牌
- 23. Facebook用户访问令牌安全
- 24. 带Webpack的Rails 5.1:访问CSRF令牌
- 25. CSRF 403禁止 - 无效的CSRF令牌
- 26. 安全令牌处理
- 27. 的OAuth令牌安全
- 28. WIF安全令牌缓存
- 29. 会话令牌安全parse.com
- 30. 安全地保存令牌?