come testare per csrf se l'applicazione web non sta usando token e non ci sono utenti definiti per quella applicazione?

1

Sto testando un'applicazione che non utilizza token anti-csrf per le sue richieste. Non ci sono utenti definiti per questa applicazione. Bene, in tal caso, come eseguire test per csrf in questa particolare applicazione?

    
posta user3601346 12.06.2015 - 11:01
fonte

1 risposta

1

Correlati: Protezione CSRF per richieste non autenticate, azioni , ricerche o commenti? .

Questa domanda non è un duplicato, come ti stai chiedendo come testarlo.

Allo stesso modo si testerebbe per il normale CSRF. Installa una richiesta al server che simulerebbe la richiesta che arriva tra domini. Cioè:

  • Origin e referer di intestazioni appropriatamente impostate.
  • Nessuna intestazione presente che non può essere impostata su più domini (ad esempio X-Requested-With ).
  • Nessun token presente che un utente malintenzionato non possa determinare senza attraversare le origini nella sessione del browser.

Naturalmente puoi sempre verificarlo ospitando effettivamente la tua pagina per fare una richiesta interdominio al sito che stai testando (facendo attenzione a rimuovere tutti i token aggiuntivi che ovviamente non sarebbero noti).

    
risposta data 12.06.2015 - 11:43
fonte

Leggi altre domande sui tag