asp.net – ASP反请求伪造,为什么黑客不会先获取?
我一直在我的MVC3 Web应用程序中实现ASP ARF令牌,并阅读CSRF漏洞利用的工作方式以及ARF令牌如何防御它.现在我想知道’黑客’是否无法通过额外的步骤绕过ARF检查.正常的CSRF场景如下:
>创建一个发布到目标网站BankingSite的网站(我们称之为HackerSite) 由于我们的ARF令牌,BankingSite知道忽略来自网站HackerSite的POST.因为它缺少正确的AFR令牌.谁能告诉我为什么黑客不能通过首先在BankingSite上执行GET请求来获取令牌?像这样: >创建一个发布到目标网站BankingSite的网站(我们称之为HackerSite) 有谁知道我在这里缺少什么,以及ARF如何抵御这种攻击? 解决方法
攻击者不知道受害者的cookie.令牌生成基于它.如果您的站点有其他XSS漏洞,则此方法无法帮助解决CSRF漏洞.
如果你发送AJAX referer标题将是HackerSite,而不是BankSite.因此您无法访问站点的封闭部分(无法访问CSRF令牌).这是Http-Only所以你不能只通过javascript来获取它.当您想要向受害者站点发送获取请求时,您的计划将失败. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
- asp.net – 当用户离开网站(ASPX)时,最后调用数据库?
- asp.net – 将页脚粘贴到页面底部的方法
- asp.net-mvc – 如何为mvc应用程序中的所有控制器启用ssl
- 在IIS Express中无法启动asp.net核心Web应用程序
- asp.net-mvc-3 – 如何将HttpContext传递给MVC3应用程序中的
- asp.net – 允许 – (破折号)在正则表达式中
- asp.net-mvc – .NET MVC不显眼的验证和自定义模型绑定器
- asp.net – Azure SqlException:服务器上的数据库当前不可
- asp.net-mvc-4 – SignalR维护浏览器刷新时的连接ID
- asp.net-mvc – MVC 3布局页面,Razor模板和下拉列表
- ASP.Net应用程序的最佳菜单是什么?
- asp.net-mvc – HttpContext.Current.User.IsInR
- asp.net-mvc-3 – 找不到布局页面“{path}”
- asp.net – 在哪里可以为Delphi Prism定义条件编
- ASP.NET requestValidation 4.5和WIF
- asp.net – 插入和更新问题
- .net – UpdatePanel中的FileUpload控件,不刷新整
- asp.net-mvc – 如何设置内联的webgrid行样式
- 在ASP.NET中,HTML指令符号<%#或<%= etc?在服务
- asp.net-mvc – 所有ASP.NET Web API控制器返回4