如果未使用 XSRF/CSRF 令牌验证注销请求,安全漏洞会是什么?
问问题
107 次
2 回答
1
不要将 Anti-CSRF 令牌视为在单个端点/请求上实现的机制。理想情况下,这种机制是作为您正在开发的框架的关键部分而嵌入的。
注销链接上的 Anti-CSRF似乎是多余的,这不是我担心的问题。让我担心的是设计一个允许或者更确切地说不强制执行 Anti-CSRF 机制的系统。
在这种情况下,CSRF 可能看起来是良性的。但是,当注销链接容易受到 XSS 攻击时会发生什么?突然间,Anti-CSRF 令牌不再保护你了。
始终练习深度防御,因为您的安全性应该分层包装,Anti-CSRF 就是其中之一。
于 2017-08-08T10:39:58.720 回答
1
可以与OWASP A10结合使用,例如,攻击者还提供指向错误位置的返回 URL,例如伪造的“再次登录”页面,他可以在其中捕获您的密码。
于 2017-08-08T10:47:30.457 回答