ログインとクロスサイト リクエストのフォアグリーの間に何らかの関係があるかどうか疑問に思っていましたか? 私の質問は、ログインを必要としないが、それでも CSRF から保護する必要があるサイトはありますか? 例を挙げていただけますか
質問する
123 次
2 に答える
0
CSRF 攻撃は、攻撃サイトがクライアントに代わってクライアントによって実行されるリクエストを偽造し、クライアントのリクエストに対するサーバーの信頼を享受できるため、クライアントのリクエストの信頼性を悪用します。したがって、サーバーは、クライアントからの要求はすべて、クライアントを制御するユーザーの意図した動作であると想定します。CSRF は、この暗黙の信頼を利用します。
この時点で、クライアントが認証される必要はありません。一般に、認証されたユーザーは、攻撃サイトが狙う特別な権限を持っていますが、CSRF 攻撃の主な目的は、ユーザーが知らないうちに、ユーザーに代わって任意のリクエストを送信することです。したがって、ターゲット サイトは、攻撃サイトとは異なる発信元が必要なサイト (例: 投票、ユニーク ビジター、悪意のある活動など) にすることもできます。
于 2012-05-22T10:44:51.220 に答える
0
CSRF が効果的であるためには、明示的な認証や検証を必要としない方法で、サイトが誰かに代わって行動できる必要があります。
自動ログイン Cookie を介してサインインしたユーザーは、最も一般的な CSRF 攻撃ですが、たとえば、ニュースレターの購読フォームも同様に脆弱であり、購読を確認するためにシステムから不要な電子メールを受信する可能性があります。
あなたの質問に答えるために、ログインと CSRF は関連していますが、互いに排他的ではありません。
于 2012-05-20T07:49:01.427 に答える