Il Big-IP ASM di F5 può proteggere contro CSRF per le chiamate AJAX?

Dipenderà da quale versione del software F5 hai. In passato, ASM funzionava solo iniettando il token nei campi su moduli POST HTML statici e non poteva indirizzare altri tipi di richieste o interazioni guidate da script sul lato client.

Sembra che recentemente la funzione CSRF possa ora iniettare lo script sul lato client per:

• Applica il token CSRF a GET forme e collegamenti semplici. Questa è una pessima idea: non vuoi perdere i tuoi token CSRF negli URL.

• Frob il prototipo XMLHttpRequest per iniettare un'intestazione personalizzata con valore fisso X-TS-AJAX-Request: true per aggirare la protezione CSRF. Questo è praticabile ma le intestazioni personalizzate sono la soluzione del povero uomo, rispetto ai token appropriati; sono stati vulnerabili agli attacchi del caso limite come da Flash in il passato.

Queste funzionalità, come gran parte di ciò che fa ASM, sono utili come soluzione provvisoria / temporanea per quando devi distribuire applicazioni che conosci essere insicure ma non hai la possibilità o il permesso di correggerle correttamente. Ma se puoi, è molto più affidabile affrontare il problema nell'applicazione stessa.

Per quanto ho capito come viene implementato CSRF, se una richiesta non contiene informazioni CSRF viene scartata. Indipendentemente da come è stata costruita la richiesta o da dove è stata originata. CSRF aggiunge profondità alle sessioni, il che significa che un token CSRF non solo offre il tracciamento delle sessioni e l'unicità, ma può anche essere utilizzato per tornare a uno stato precedente di un'applicazione web. Anche se questo non è l'uso previsto per CSRF, l'ho visto usato come tale. Dico questo perché è spesso come un sito Web basato su Ajax gestisce l'esperienza utente di un'applicazione Web (che punta indietro agli stati)