Un test di penetrazione è ordinato su uno dei siti web. Ho implementato OWASP CSRF Guard sul sito web. Usa intestazioni personalizzate per la protezione CSRF per AJAX. Questo è stato contrassegnato con un messaggio soggetto. Nessuna spiegazione è data. Non sono sicuro che la dichiarazione di cui sopra sia vera. Perché invalidare?
Nota:
Si noti che la presenza del token CSRF nell'intestazione HTTP invalida il file Protezione CSRF.
OWASP Csrf Guard aggiunge a ajax richieste un'intestazione personalizzata, "si specifica il nome". Quindi l'intestazione http per la mia chiamata ajax sembra "csrftoken: 4949-2393 -....." Questo token viene quindi controllato dal filtro.
Sta dicendo che questa non è una protezione sufficiente e che un utente malintenzionato può accedere all'intestazione e al valore http personalizzati. Non pensavo che fosse fattibile usando le chiamate GET o Ajax. Supponendo che l'attaccante conosca l'intestazione, (registrata sul sito), come può determinare il valore del token?
Non capisco.