5
preventing CSRF에 대해 꽤 많이 쓰여 있습니다.csrf 보호
그러나 나는 단지 그것을 얻지 못한다 : 왜 나는 목표 페이지 양식에서 csrf 토큰을 구문 분석하고 내 위조 요청과 함께 제출할 수 없습니까?
Q
csrf 보호
A
답변
0
CSRF 토큰의 값을 미리 알 수 없기 때문에.
1
스크립트 코드를 대상 페이지 (XSS)에 삽입 할 수 있으면 그 코드를 사용하여 CSRF 방지를 쓸모 없게 만들 수 있습니다.
CSRF 토큰은 최종 사용자가받는 페이지에 저장해야합니다 (또는 그가 알지도 못합니다).
실제로 보안 평가에서 XSS는 일반적으로 자체 손상 가능성이 아니라 그러한 공격에 사용하기 위해 평가합니다.
0
CSRF 토큰은 모든 사용자와 매 요청마다 완전히 다른 토큰이어야하므로 공격자로부터 추측 할 수 없습니다.
php의 경우 .net과 javascript는 OWASP CSRFGuard Project에 있습니다. java 및 jsf 2.x에서 이미 CSRF에 대해 저장하고 있다면 (POST를 사용하고 GET하지 않는 한 - 당신은 JSF 2.2를 기다리는 경우) JSF없이 작업하면 OWASP ESAPI의 HTTPUtillities Interface도 매우 유용 할 수 있습니다!
1
CSRF 공격은 장님입니다. 그들은 세션 라이딩을하고 공격자는 XSS 취약점을 통해 토큰을 추출 할 수 없다면 직접 제어 할 수 없습니다. 일반적으로 세션 과이드 토큰을 사용할 수 있습니다. 요청 당 회전 토큰은 잔인하며 잘못된 경보를 유발할 수 있습니다. 마스터 세션 토큰을 사용하여 리소스 당 토큰을 사용하는 것을 선호합니다.
관련 문제
- 1. symfony로 CSRF 보호
- 2. php csrf 보호 라이브러리
- 3. CSRF 보호 질문
- 4. 레일, OAuth 및 CSRF 보호
- 5. 레일 앱에서 CSRF 보호 기능을 끄려면 어떻게해야합니까?
- 6. CSRF 보호 및 교차 사이트 양식 액세스
- 7. 쿠키가 비활성화 된 경우 CSRF 보호 처리
- 8. 형식 유효성 검사없이 codeigniter csrf 보호
- 9. 세션의 CSRF 보호 토큰을 안전하게 보호합니까?
- 10. MVF2를 사용하여 AJAX 요청의 CSRF 보호
- 11. Django 1.2에서는 {% csrf_token %} CSRF 보호 태그가 여전히 필요합니까?
- 12. 때때로 CSRF 보호 기능을 비활성화 할 수 있습니까?
- 13. django https + CSRF
- 14. CodeIgniter의 CSRF 토큰 문제
- 15. CakePHP와 CSRF
- 16. csrf 토큰 : CSRF 공격이 감지되었습니다. 백엔드 용으로 만 생산
- 17. Django - CSRF 확인에 실패했습니다.
- 18. CSRF 및 변경 토큰
- 19. Facebook 인증 예제 CSRF
- 20. CSRF 공격 시뮬레이션
- 21. Django : CSRF 확인에 실패했습니다.
- 22. django CSRF 유효성 확인
- 23. 자바 스크립트 CSRF 취약점을
- 24. 아약스의 CSRF 토큰
- 25. OpenID iframe에 CSRF 구현
- 26. 외부 패키지를 사용하지 않고 Tomcat 6을 사용하여 CSRF 유효성 검사
- 27. jquery UI 대화 상자 및 CSS 보호
- 28. nonce 토큰을 생성하여 CSRF 방지?
- 29. Django 1.2 csrf 문제로 SWFUpload
- 30. Threadedcomments - csrf token 및 user_name