3

最近、アプリケーションに対して Appscan を実行したところ、レポートのいくつかのページに次のように表示されました。元の要求に次の変更が適用されました。

  • HTTP ヘッダーを「http://bogus.referer.ibm.com」に設定して
    ください 理由:
    同じ要求が異なるセッションで 2 回送信され、同じ応答が受信されました。これは、どのパラメーターも動的ではない (セッション ID は Cookie でのみ送信される) ため、アプリケーションがこの問題に対して脆弱であることを示しています。

これを処理する方法について少し混乱しています.Request.UrlReferrerを見て、それがURLにあるものと同じホストであることを確認するか、これを処理するより良い方法がありますか?

ありがとう。

4

1 に答える 1

3

Referrer ヘッダーは非常に簡単に偽装できます。リクエストの発信元を証明する CSRF トークン (シンクロナイザー トークン パターンをお勧めします) を使用する必要があります。OWASPには、必ず読むべき素晴らしいリソースがあります。幸運を!

于 2013-03-12T15:49:22.127 に答える