L'intestazione personalizzata per la protezione CSRF annulla la protezione CSRF

0

Un test di penetrazione è ordinato su uno dei siti web. Ho implementato OWASP CSRF Guard sul sito web. Usa intestazioni personalizzate per la protezione CSRF per AJAX. Questo è stato contrassegnato con un messaggio soggetto. Nessuna spiegazione è data. Non sono sicuro che la dichiarazione di cui sopra sia vera. Perché invalidare?

Nota:

Si noti che la presenza del token CSRF nell'intestazione HTTP invalida il file Protezione CSRF.

OWASP Csrf Guard aggiunge a ajax richieste un'intestazione personalizzata, "si specifica il nome". Quindi l'intestazione http per la mia chiamata ajax sembra "csrftoken: 4949-2393 -....." Questo token viene quindi controllato dal filtro.

Sta dicendo che questa non è una protezione sufficiente e che un utente malintenzionato può accedere all'intestazione e al valore http personalizzati. Non pensavo che fosse fattibile usando le chiamate GET o Ajax. Supponendo che l'attaccante conosca l'intestazione, (registrata sul sito), come può determinare il valore del token?

Non capisco.

    
posta user3586195 19.08.2015 - 18:02
fonte

1 risposta

1

L'uso di intestazioni personalizzate per mitigare CSRF funziona, tuttavia, questo non è considerato una buona pratica. È consigliabile includere un token CSRF come parametro in tutte le richieste di modifica dello stato per garantire che la richiesta provenga dal dominio. La preoccupazione principale dell'utilizzo di intestazioni personalizzate per mitigare CSRF è che non si sa se in futuro un utente malintenzionato sarà in grado di inviare intestazioni personalizzate in richieste cross-site.

Questo post fa davvero buon lavoro spiegando perché questa non è la migliore idea.

    
risposta data 19.08.2015 - 23:15
fonte

Leggi altre domande sui tag