2

私はこれについて考えていましたが、POSTは少し脆弱性が低く、やや難しいようです(ユーザーに何かをクリックするように要求するため)。

トークンIDと二重送信されたCookieについて読みましたが、違いがわかりません

http://www.owasp.org/index.php/Cross-Site_Request_Forgery_%28CSRF%29_Prevention_Cheat_Sheet#Disclosure_of_Token_in_URL http://www.owasp.org/index.php/Cross-Site_Request_Forgery_%28CSRF%29_Prevention_Cheat_Sheet#Double_Submit

現在、私はユーザーID(私のテーブルではPK)とセッションIDを持っているので、Cookie IDを変更して、他の誰かのように振る舞うことはできません。これで、各フォームにセッションIDをトークンとして入れて、攻撃者がこれらのトークンを推測できないことを確認したようです。ただし、pplが表示できるようにセッションIDをページに配置するというアイデアは嫌いです。しかし、本当に、それに問題がありますか?ユーザーにhtmlをコピー/貼り付けさせる以外に、セッションIDがhtmlでプレーンビューになっているために発生する可能性のある攻撃はありますか?

4

2 に答える 2

1

ユーザーがトークンを含むリンクをコピーできる場合、これは非常に安全ではありません。現在のアドレスについても同様です。静的セッションIDを使用する場合、外部サイトまたはスクリーンショットへの参照により、セッションが危険にさらされます。静的セッションIDがない場合でも、ユーザーはマウスをリンクの上に置くと、ブラウザの下部に表示され、スクリーンショットを撮って、セッションが危険にさらされた状態になります。

于 2010-05-20T23:07:21.033 に答える
0

とにかく、セッションIDはクライアント側で認識されています。他にどのようにリクエストとともに送信しますか?

于 2010-02-11T08:32:58.447 に答える