Implementazione CSRF

1

Sto lavorando al sito web, dove voglio includere i controlli csrf usando i controlli referrer, sarà questo il modo sufficiente per proteggere il modulo dall'attacco csrf?

se non ciò che un utente malintenzionato può fare per aggirarlo?

    
posta Rakesh Singh 03.02.2015 - 12:20
fonte

2 risposte

4

Secondo OWASP:

Although it is trivial to spoof the referer header on your own browser, it is impossible to do so in a CSRF attack. Checking the referer is a commonly used method of preventing CSRF on embedded network devices because it does not require a per-user state. This makes a referer a useful method of CSRF prevention when memory is scarce.

Tuttavia

However, checking the referer is considered to be a weaker from of CSRF protection. For example, open redirect vulnerabilities can be used to exploit GET-based requests that are protected with a referer check and some organizations or browser tools remove referrer headers as a form of data protection. There are also common implementation mistakes with referer checks. For example if the CSRF attack originates from an HTTPS domain then the referer will be omitted.

La spiegazione completa: link

    
risposta data 03.02.2015 - 12:24
fonte
1

Penso che il modo per risolverlo sia utilizzare i token Anti-CSRF e non inoltrare l'intestazione del referrer. Esistono diverse implementazioni che possono fornire token Anti-CSRF, quindi non devi scriverlo da solo.

link

link

    
risposta data 03.02.2015 - 13:20
fonte

Leggi altre domande sui tag