사용자 입력을 허용하는 모든보기에서 위조 토큰 html 도우미를 사용하고 관련 작업 방법에서 [ValidateAntiForgeryToken]을 사용하여 보호합니다 가능한 모든 CSRF 공격으로부터. 그러나 나는이 코드 라인이 잘 작동하고 가능한 공격을 막을 수 있는지 테스트 할 수있는 방법에 문제가 있습니다. BR내 wasp.net MVC 3 웹 사이트가 CSRF 공격으로부터 보호되는지 테스트하는 방법
어디서나 호스팅 할 수있는 정적 HTML 페이지를 작성할 수 있습니다. 웹 서버가 필요 없어도, 예를 들어 file:///c:/foo.htm을 사용할 수 있습니다. 이 HTML 페이지에서 CSRF에 대해 테스트하려는 일부 ASP.NET MVC보기와 동일한 입력 요소 (동일한 이름)를 포함하는 간단한 <form>을 만듭니다. 양식의 action은 ASP.NET MVC보기와 동일한 동작을 가리 킵니다. 그런 다음 양식을 제출하십시오. AntiForgeryToken 예외가 throw되면 안전합니다. 반면에 컨트롤러 동작이 실행되면 CSRF 공격에 취약합니다.
CSRF에 대한 자세한 내용은 following article을 참조하십시오. 제프 앳 우드도 그것에 대해 blogged.
그리고 당신이 달리는 기적의 도구를 기대하지 않고 녹색 또는 적색 빛을 보일 것입니다. 이러한 도구가 존재한다면 해커는 존재하지 않을 것입니다. 모든 사이트가 보호되고 해킹 할 것이 없기 때문입니다.
사이트가 안전한지 확인하는 가장 좋은 방법은 광범위한 감사 및 코드 검토를 수행하는 보안 전문가와상의하는 것입니다.
광범위한 감사 (비싼) 감사 및 코드 검토를 수행 할 사람은 누구입니까? – Rafay
@ 3nigma, 지불 대상자입니다. 물론 당신이 이미 무료로 그것을 할 사람을 알지 않는 한. 물론 그를 고용하기 전에 자신의 자격 증명을 확인하십시오. –