Controlla un token senza controllare un'intestazione sufficiente per la protezione CSRF?

2

Nelle loro linee guida per proteggere la tua applicazione dagli attacchi CSRF, OWASP consiglia due distinti controlli:

1. Check standard headers to verify the request is same origin
2. AND Check CSRF token

Questa domanda chiede se è sufficiente controllare le intestazioni senza avere un token. Mi chiedo il contrario - è sufficiente creare e controllare un token CSRF crittografato senza controllare le intestazioni?

    
posta davidvgalbraith 20.09.2017 - 20:17
fonte

2 risposte

2

Sì. Questa è la prima volta che vedo qualcuno che consiglia di fare entrambe le cose. Controllare le intestazioni sembra sempre un po 'hacky: l'intestazione Referer non è stata progettata come intestazione di sicurezza (potrebbero esserci casi oscuri in cui non riesce) e non è sempre impostata. In genere consigliamo di utilizzare token e non suggeriamo di controllare l'intestazione "Referer".

Non può fare male fare entrambe le cose se rifiuti quando una delle due condizioni fallisce, ma i token sono sufficienti, supponendo che siano implementati correttamente.

    
risposta data 20.10.2017 - 21:57
fonte
-1

In quanto neolaureato (ho conseguito un MS in I.T. - Cybersecurity) dovrei consigliare di seguire lo standard del settore e controllare sia le intestazioni che il token. Uno degli standard di settore è Pubblicazione speciale NIST 800-63b Vi consiglio di iniziare da lì .

    
risposta data 20.09.2017 - 20:31
fonte

Leggi altre domande sui tag