Situazione iniziale:
Un webservice RESTful difende dagli attacchi CSRF utilizzando l'approccio doppio del cookie di invio. Ciò significa che il token di autenticazione viene inviato due volte e verificato sul lato del servizio.
Problema / minaccia per la sicurezza:
L'elemento WebView delle piattaforme Android e iOS consente di creare un browser Web dannoso che rivela e modifica i cookie di sessione. webView.loadUrl("javascript:document.cookie=’’;");
. Se l'aggressore ha già capito, come appare il doppio cookie inviato (in questo caso è AuthenticationToken) è in grado di creare un RESTBrowser malevolo. Pertanto aggiunge il già noto CSRFToken al modello di oggetto documento e quindi ignora la contromisura CSRF. È così giusto?
Prevenzioni possibili:
Finora non ho idea di come sia possibile impedire a un utente malintenzionato di creare e pubblicare applicazioni mobili dannose, nonché di impedire l'accesso al servizio tramite applicazioni mobili dannose. Conosco l'esistenza dell'intestazione User-Agent
e il servizio può utilizzare queste informazioni per rifiutare richieste dagli altri rispetto a browser specifici. Ma sono sicuro che anche questa intestazione può essere manipolata all'interno di WebView.
Quali sono le contromisure efficaci adottate dalla CSRF nel contesto di applicazioni mobili dannose?