Le azioni del portlet WebSphere sono sempre protette da CSRF

1

Ho notato che il contenitore del portlet WebSphere genera URL di azione contenenti un ID, che sembrano cambiare ogni volta che ricarico la pagina. Solitamente gli URL di azione vengono utilizzati come obiettivi di invio dei moduli.

Esempi:

Richiesta 1: / dl5 / d5 / L2dBISEvZ0FBIS9nQSEh / pw / Z7_69901941IO5OB0AMECLLL52F05 / act / id = efQFBpph1jtCw / 330849354665 / = / # Z7_69901941IO5OB0AMECLLL52F05

Richiesta 2: / dl5 / d5 / L2dBISEvZ0FBIS9nQSEh / pw / Z7_69901941IO5OB0AMECLLL52F05 / act / id = igQFBpph1jtBg / 330849315800 / = / # Z7_69901941IO5OB0AMECLLL52F05

Se non esiste un modo per dedurre questo ID e viene generato un nuovo ID per ogni richiesta di rendering, le richieste di azioni del portlet dovrebbero essere protette da CSRF per impostazione predefinita.

Il mio problema è che questa è solo un'osservazione. Non sono riuscito a trovare nulla su ciò che questi URL contengono o se l'ID funge da token CSRF.

    
posta fishbone 27.07.2016 - 08:12
fonte

0 risposte

Leggi altre domande sui tag