token anti-CSRF in ambiente HTTPS

7

Ha davvero senso usare i token anti-CSRF in un'applicazione web a cui si accede solo tramite HTTPS? Se sì, quali sono i modi possibili per attaccare una tale applicazione Web se i token anti-CSRF sono assenti?

    
posta Paul Podlipensky 10.01.2012 - 21:45
fonte

1 risposta

8

Sì, ha senso. HTTPS non fa nulla per proteggerti dagli attacchi CSRF. Esegui un attacco CSRF come faresti contro un sito Web abilitato HTTP.

Dai un'occhiata alla descrizione CSRF di OWASP per capire come funziona. Sarà ovvio che la crittografia del canale di comunicazione è irrilevante per questo tipo di attacco.

    
risposta data 10.01.2012 - 22:00
fonte

Leggi altre domande sui tag