come possiamo trovare la vulnerabilità CSRF in un sito web?

Naviga le tue risposte
8

Ho sentito che non ci sono strumenti specifici disponibili per testare e scoprire la vulnerabilità CSRF di un sito web. Quindi, da un punto di vista dei tester di sicurezza, come testare la vulnerabilità di CSRF?

    
posta Anandu M Das 18.09.2014 - 07:19
fonte

1 risposta

16

Probabilmente farei i seguenti passi:

  1. Identifica un URL sul tuo sito in cui un attacco CSRF potrebbe avere un effetto negativo sul tuo sito. Per questo esempio, diciamo che una richiesta GET a http://mysite.com/account/del cancellerà l'account che hai effettuato l'accesso come
  2. Quindi crea una pagina HTML di base completamente separata dal sito che stai testando. Su questa pagina HTML include il seguente <img src="http://mysite.com/account/del"width="0" height="0">
  3. Quindi creare un account fittizio sul sito che si desidera testare e accedere a tale account.
  4. Con la sessione ancora attiva, apri la pagina HTML di base che hai creato nello stesso browser.
  5. Se l'account viene eliminato, si ha una vulnerabilità CSRF

Questo è un esempio volutamente semplice, ma dovrebbe darti l'idea di come puoi testare per CSRF.

Puoi trovare risorse sulla prevenzione degli attacchi CSRF qui . Buona fortuna!

    
risposta data 18.09.2014 - 08:08
fonte

Leggi altre domande sui tag

Come funziona l'autorizzazione della carta di credito La sicurezza del file di chiavi ssh può essere interrotta in poche ore se il file è esposto?