Il token anti-CSRF protegge davvero da CSRF? [duplicare]

0

Ho letto su Internet che dovrei avere un token CSRF sulla mia pagina e questo lo proteggerà da CSRF.

Tuttavia, posso immaginare uno scenario in cui l'anti-CSRF non è utile. La mia comprensione è sbagliata da qualche parte? Lo scenario sta seguendo.

Il mio sito Web (esempio.com) ha un modulo con il campo token anti-CSRF su di esso. L'autore dell'attacco crea la propria pagina (example2.com), sulla quale inserisce il codice js che segue in background:

  • invia la richiesta GET a "esempio.com"
  • raschia via il token anti-CSRF (poiché può vedere la struttura della pagina usando lui stesso)
  • fai una richiesta dannosa a "esempio.com" incluso il valore raschiato del token, in modo che il mio server non possa sapere che la richiesta non è valida

Ora, se tale scenario è possibile, significherebbe che l'intera protezione CSRF-token è inutile!

    
posta ironic 12.08.2015 - 22:25
fonte

1 risposta

0

I token CSRF sono unici per ogni utente e memorizzati sul lato server o client. Ciò significa che un utente malintenzionato dovrebbe indovinare il valore del token CSRF per attaccarti. Se il token viene generato utilizzando un PRNG crittograficamente sicuro, un attacco di base come descrivi non è possibile.

    
risposta data 12.08.2015 - 22:30
fonte

Leggi altre domande sui tag