Sto testando un'applicazione che non utilizza token anti-csrf per le sue richieste. Non ci sono utenti definiti per questa applicazione. Bene, in tal caso, come eseguire test per csrf in questa particolare applicazione?
Sto testando un'applicazione che non utilizza token anti-csrf per le sue richieste. Non ci sono utenti definiti per questa applicazione. Bene, in tal caso, come eseguire test per csrf in questa particolare applicazione?
Correlati: Protezione CSRF per richieste non autenticate, azioni , ricerche o commenti? .
Questa domanda non è un duplicato, come ti stai chiedendo come testarlo.
Allo stesso modo si testerebbe per il normale CSRF. Installa una richiesta al server che simulerebbe la richiesta che arriva tra domini. Cioè:
Origin
e referer
di intestazioni appropriatamente impostate. X-Requested-With
). Naturalmente puoi sempre verificarlo ospitando effettivamente la tua pagina per fare una richiesta interdominio al sito che stai testando (facendo attenzione a rimuovere tutti i token aggiuntivi che ovviamente non sarebbero noti).