Protezione CSRF sul lato server?

2

Sono consapevole che è meglio mantenere la mia applicazione web patchata e protetta da questo tipo di attacchi, ma nel mio caso questa è una cosa più sperimentale.

C'è qualcosa di utile, come un modulo che può essere usato per apache (2.4.7) per "proteggere" contro gli attacchi CSRF?

    
posta user134969 02.01.2017 - 11:35
fonte

2 risposte

5

Il modo generale è l'accodamento dei token di protezione CSRF all'input e il loro confronto su ogni richiesta, Apache nella sua configurazione non è in grado di memorizzare i dati di sessione sugli utenti, quindi non sarà in grado di valutare l'autorità delle richieste. Pertanto, i moduli Apache per la protezione CSRF non esistono. Questo è il lavoro della tua applicazione web.

Modifica: ci sono alcuni graffi online come questo, chiamato mod_csrf , ma non è proprio un mod di apache nel suo significato tradizionale . (Devi copiare i file sul webroot)

    
risposta data 02.01.2017 - 12:10
fonte
1

La tua protezione CSRF verrà dall'applicazione stessa -eg CSRF guardia in PHP, i token anti csrf in .net.

Ogni modulo ha bisogno di un token che viene convalidato dal server al momento dell'invio, per quanto comprendo che non esiste un modulo plug-in per il server Web che può farlo, sebbene sia possibile fare parte della difesa in profondità considera l'aspetto richiesto dall'intestazione

Questo post contiene più informazioni protezione CSRF con custom intestazioni (e senza token di convalida)

    
risposta data 02.01.2017 - 12:17
fonte

Leggi altre domande sui tag