Ogni richiesta post include il token csrf?

Naviga le tue risposte
2

Qual è il livello di vulnerabilità se il token anti-csrf non viene inviato con ogni richiesta post? (Se i livelli di vulnerabilità erano alti, medi e bassi). Capisco per le funzioni critiche come l'accesso, ecc. Dovresti includere il token csrf.

Quali fattori dovrei prendere in considerazione al momento di decidere se implementare o meno CSRF per ogni serie di richieste consentite in un'app Web?

Aggiornamento: ho trovato questo articolo qui che spiega la necessità di CSRF gettone per ogni richiesta È interessante notare che sempre più app web lo stanno prendendo in considerazione per ogni richiesta.

    
posta DoodleKana 28.08.2014 - 00:59
fonte

2 risposte

4

Se il POST cambia stato sul server, allora non includere un token csrf ti rende vulnerabile. Il livello di rischio dipende dalla specifica funzionalità offerta a quell'URL se l'aggressore ne abusa con un attacco csrf.

    
risposta data 28.08.2014 - 01:28
fonte
1

Il token CSRF dovrebbe far parte di un approccio a più livelli. Puoi impiegare altre tecniche o altri assegni in sessione (CAPTCHA, richiedere l'accesso, conferma fuori banda, ecc. .).

Il costo per includere un token CSRF è generalmente basso, specialmente se si sta lavorando con un framework che può includerlo automaticamente. Ci sono alcuni casi in cui ti imbatterai in problemi di compatibilità degli utenti (specialmente in umani normali che usano casi di browser). Potresti voler pensare a casi in cui esplicitamente non vuoi usare CSRF .

Ad esempio, casi in cui è possibile che le richieste vengano avviate direttamente. ad es., se offri una casella di ricerca sul tuo sito e richiedi un token CSRF, potrebbe essere impossibile creare una ricerca rapida nella barra degli indirizzi del browser dell'utente.

    
risposta data 28.08.2014 - 03:55
fonte

Leggi altre domande sui tag

Quali CSS sono considerati sicuri o non sicuri all'interno di un sito web multi-tenant? Come evitare la fissazione della sessione (Login CSRF) con MitM attack senza HSTS?