Implementación CSRF

1

Estoy trabajando en el sitio web, donde quiero incluir controles csrf mediante el uso de controles de referencia, ¿será esto suficiente para proteger el formulario del ataque csrf?

si no es lo que puede hacer un atacante para evitarlo?

    
pregunta Rakesh Singh 03.02.2015 - 12:20
fuente

2 respuestas

4

Según OWASP:

  

Aunque es trivial falsificar el encabezado del remitente en su propio navegador, es imposible hacerlo en un ataque CSRF. La comprobación del referente es un método comúnmente utilizado para prevenir CSRF en dispositivos de red incorporados porque no requiere un estado por usuario. Esto convierte a un referente en un método útil de prevención de CSRF cuando la memoria es escasa.

Sin embargo

  

Sin embargo, se considera que la verificación del referer es un elemento más débil de la protección CSRF. Por ejemplo, las vulnerabilidades de redireccionamiento abierto se pueden usar para explotar solicitudes basadas en GET que están protegidas con una verificación de referencia y algunas organizaciones o herramientas de navegador eliminan los encabezados de referencia como una forma de protección de datos. También hay errores comunes de implementación con las verificaciones de los remitentes. Por ejemplo, si el ataque CSRF se origina en un dominio HTTPS, se omitirá el referente.

La explicación completa: enlace

    
respondido por el Michael 03.02.2015 - 12:24
fuente
1

Creo que la forma de resolverlo es utilizar tokens Anti-CSRF y no retransmitir en el encabezado de referencia. Existen diferentes implementaciones que pueden proporcionar Tokens Anti-CSRF fuera de la caja, por lo que no tiene que escribirlo usted mismo.

enlace

enlace

    
respondido por el AaronS 03.02.2015 - 13:20
fuente

Lea otras preguntas en las etiquetas