3

我们最近运行了一个 Appscan 应用程序,报告显示在几页上:以下更改已应用于原始请求:

  • 将 HTTP 标头设置为“ http://bogus.referer.ibm.com
    推理:
    相同的请求在不同的会话中发送了两次,并收到了相同的响应。这表明没有一个参数是动态的(会话标识符仅在 cookie 中发送),因此应用程序容易受到此问题的影响。

我对如何处理这个问题有点困惑,我应该只查看 Request.UrlReferrer 并确保它与 URL 中的主机相同,还是有更好的方法来处理这个问题?

谢谢。

4

1 回答 1

3

Referrer 标头很容易被欺骗。您需要使用 CSRF 令牌(我推荐 Synchronizer 令牌模式)来证明请求的来源。OWASP有一个很棒的资源,你绝对应该阅读。祝你好运!

于 2013-03-12T15:49:22.127 回答