Mitigación basada en token o encabezado de origen

1

OWASP CSRF Prevention cheatsheet habla sobre dos mitigaciones populares para CSRF - Origen / Referr Comprobación de encabezado y basado en token.

¿Hay algún problema en la mitigación basada en la verificación de origen / referencia que podría haber sido detectada por la mitigación basada en token y viceversa? Solo trato de entender si necesitamos emplear a ambos en nuestras aplicaciones. Me gustaría implementar ambos si cada uno de ellos tiene algún inconveniente que podría haber sido detectado por el otro (si no hay nada como tal, me gustaría seleccionar uno de ellos por ahora y considerar la posibilidad de agregar otra defensa en medida de profundidad en un momento posterior del tiempo)

    
pregunta security guy 10.08.2018 - 02:35
fuente

1 respuesta

1

El enfoque basado en token es lo que considero la forma más eficaz de prevenir los ataques CSRF. Si se implementa correctamente, la medida basada en token nunca falla. Mientras que los otros métodos dependen totalmente del navegador que no está en control de nadie y no se debe confiar en él. Por ejemplo, EDGE todavía permite falsificar el encabezado de referencia en las solicitudes GET. Además, los usuarios preocupados por la privacidad podrían deshabilitar el envío de dichos encabezados. Esto puede romper su aplicación para tales usuarios. Estos enfoques basados en encabezados se utilizan específicamente para reducir la sobrecarga del servidor de almacenar y verificar el token para cada usuario o para cada página porque no tendría que almacenar nada en absoluto. Pude ver muchos inconvenientes de usar el encabezado Origin / Referrer mientras que no hay ninguno para el enfoque basado en token.

Y, implementar uno es suficiente para prevenir los ataques CSRF. No hay uso en la implementación de ambos.

    
respondido por el 1lastBr3ath 10.08.2018 - 19:26
fuente

Lea otras preguntas en las etiquetas