アプリケーションにシングル Singh On 用の Spring Security エクステンション SPNEGO API を実装しました。kerberos プロトコルまたは SPNEGO は CSRF で安全ですか? SPNEGO を実装したとしても、CSRF 安全性を明示的に実装する必要がありますか?
1 に答える
0
認証情報をサーバーに自動的に送信するものがある場合は常に、CSRF 保護を実装する必要があります。私の知る限り、メカニズムは Cookie と Kerberos/NTLM over SPNEGO の 2 つだけです。SPNEGO を使用すると、ホワイトリストに登録されたドメインは、リクエストごとに kerberos トークンを取得します。攻撃者はフォームを作成し、それを送信するようにユーザーを騙す可能性があります。ターゲットが、ブラウザーがトークンの送信先としてホワイトリストに登録されている SPNEGO をサポートする API である場合、ユーザーを騙して、意図しない認証情報を送信させる可能性があります。認証クッキーのようなものです。
ソース: https://www.computerweekly.com/tip/CSRF-attack-How-hackers-use-trusted-users-for-their-exploitsおよびhttps://security.stackexchange.com/a/190903/12776
于 2019-07-16T22:31:49.817 に答える