¿El acrónimo CSRF se refiere al token o al ataque en sí?

Navega tus respuestas
1

Estoy realmente confundido de lo que es CSRF. Sé que significa falsificación de solicitud de sitio cruzado. enlace

Cuando lo lees aquí, habla de un ataque de falsificación de solicitud entre sitios. Pero a veces la gente lo usa para referirse a la cadena aleatoria o el token generado por el servidor para asegurarse de que cada solicitud sea del emisor correcto.

Si es un token, entiendo que se puede almacenar en una cookie o encabezado http. Cuando se almacena en una cookie, ¿el nombre del token siempre tiene que ser el mismo? Hay estandar nombre del token que debería buscar como CSRF =! @ # (@! # @ (! # JIJ @ # KLJKLJLJ. En mi aplicación particular veo __RequestVerificationToken_ seguido de un grupo de caracteres aleatorios. Es CSRF ? ¿Puede asignar el nombre de su token CSRF a lo que quiera?

PS: Entonces, supongo que la gente puede usar el token CSRF o el ataque CSRF para diferenciar entre los dos. Pero si solo usan CSRF, ¿a cuál se refieren realmente?

    
pregunta DoodleKana 22.08.2014 - 17:53
fuente

1 respuesta

3

CSRF es el ataque. Una contramedida al ataque es implementar tokens CSRF. Estas señales están destinadas a evitar que los ataques CSRF funcionen. Si alguien simplemente dice "CSRF" probablemente esté hablando sobre el ataque, pero tendrás que determinarlo tú mismo en el contexto de cómo se usa.

Su aplicación (o marco en algunos casos) es lo que necesita saber qué token CSRF debe esperar. Por lo tanto, el nombre de la cookie o el parámetro no es importante, siempre y cuando su aplicación sepa de qué se trata. No hay un nombre estándar que deba usarse.

Aquí hay otra preguntas y respuestas sobre la prevención de CSRF que le brinda sugerencias para solucionar el problema.

    
respondido por el PwdRsch 22.08.2014 - 18:01
fuente

Lea otras preguntas en las etiquetas

¿Los algoritmos de firma digital están sujetos a los mismos tipos de ataque que los algoritmos de cifrado de clave pública? modificación de solicitud API