¿Debería cada solicitud de publicación incluir el token csrf?

Navega tus respuestas
2

¿Cuál es el nivel de vulnerabilidad si el token anti-csrf no se envía con cada solicitud de publicación? (Si los niveles de vulnerabilidad fueran altos, medios y bajos). Entiendo que para las funciones críticas como el inicio de sesión, etc., debería incluir el token csrf.

¿Qué factores debo considerar al decidir si implementar o no CSRF para cada conjunto de solicitudes permitidas en una aplicación web?

Actualización: encontré esto artículo aquí que explica la necesidad de token CSRF para cada solicitud Es interesante que cada vez más aplicaciones web lo estén considerando para cada solicitud.

    
pregunta DoodleKana 28.08.2014 - 00:59
fuente

2 respuestas

4

Si la POST cambia de estado en el servidor, no incluir un token csrf lo deja vulnerable. El nivel de riesgo depende de la funcionalidad específica servida en esa URL si el atacante abusa de ella con un ataque csrf.

    
respondido por el atk 28.08.2014 - 01:28
fuente
1

El token CSRF debería ser parte de un enfoque en capas. Puede emplear otras técnicas u otras comprobaciones en la sesión (CAPTCHA, requiere inicio de sesión, confirmación fuera de banda, etc. .).

El costo de incluir un token CSRF es generalmente bajo, especialmente si está trabajando con un marco que puede incluirlo automáticamente. Hay pocos casos en los que se encontrará con problemas de compatibilidad del usuario (especialmente en humanos con un navegador). Es posible que desee pensar en casos en los que no desea utilizar CSRF explícitamente .

Por ejemplo, casos en los que quizás desee que las solicitudes se inicien directamente. por ejemplo, si ofrece un cuadro de búsqueda en su sitio y necesita un token CSRF, puede hacer que sea imposible crear una búsqueda rápida en la barra de URL del navegador del usuario.

    
respondido por el Eric G 28.08.2014 - 03:55
fuente

Lea otras preguntas en las etiquetas

¿Qué tan importante es cambiar la contraseña regularmente? [duplicar] ¿Cómo evitar la fijación de sesión (CSRF de inicio de sesión) por el ataque MitM sin HSTS?