¿ASP.NET Viewstate previene implícitamente los ataques CSRF? ¿Qué significa esto para MVC?

Question

¿ASP.NET Viewstate previene implícitamente los ataques CSRF? ¿Qué significa esto para MVC?

#1 de Bernie White (16 votos)
#2 de Sachin Kumar (7 votos)

13

Si se envía un estado de vista ASP.NET cifrado con cada formulario y el control POST, ¿significa que ASP.NET es menos vulnerable a CSRF que otras soluciones con esto?

¿Cuál es el alcance y la limitación de esa protección?

Dado que AntiForgeryToken no se implementa de forma predeterminada en ASP.NET MVC, ¿eso significa que es más probable que esos sitios estén en riesgo?

csrf asp.net asp.net-mvc

pregunta random65537 08.11.2011 - 08:23

fuente

2 respuestas

7

Es difícil ejecutar un ataque CSRF exitoso en una aplicación usando viewstate pero no imposible. Una forma de realizar un ataque CSRF exitoso en una aplicación con _viewstate es

Attacker puede iniciar sesión en la aplicación (usando credenciales propias o adquiridas)
Visite la página (con los estados de variable más comunes o más útiles) contra los que desea crear un ataque CSRF para
Copie el _Viewstate
Inserta este _viewstate en su página de ataque
Envía la página de ataque a la víctima
Con un poco de suerte y buenas adivinanzas, el ataque podría funcionar

Se ha introducido una solución a esto en 1.1. En lugar de usar solo _viewstate, puede usar ViewStateUser-Key. Esto utiliza la clave de sesión de uso para crear el token de estado que será realmente difícil de adivinar o copiar por el atacante.

Todavía sugeriría implementar un mecanismo de token CSRF independiente para la protección contra CSRF en su aplicación (sé que muchos difieren en esto)

respondido por el Sachin Kumar 08.11.2011 - 09:41

fuente

Lea otras preguntas en las etiquetas csrf asp.net asp.net-mvc

¿Cómo puede un usuario defenderse contra el secuestro de una sesión? Registro de registro extraño de researchscan1.eecs.berkeley.edu (169.229.3.91): ¿es esto un intento de hackeo?

score 16 · Accepted Answer

El propósito de ASP.NET ViewState es mantener el estado de control entre post-backs (ver explicación de MDSN ), no habilita implícitamente la seguridad que impediría CSRF.

También tenga en cuenta que ViewState encriptado en versiones anteriores de ASP.NET sin parches es susceptible a una vulnerabilidad de encriptación .

Para habilitar este tipo de protección, podría:

Use ViewStateUserKey (vea una descripción de alto nivel de la función, la docsMSDN para ViewStateUserKey y el hoja de trucos de prevención OWASP CSRF .
Use un método personalizado para representar un campo oculto administrado personalizado (por transacción) en el formulario y verifíquelo con cada solicitud del cliente.
Utilice una biblioteca de terceros dedicada a CSRF, como AntiCSRF .

ASP.NET MVC3 tiene un token anti-falsificación que se usa con el atributo [ValidateAntiForgeryToken] en la acción del controlador (consulte enlace ). En la etiqueta de formulario de la vista, llame al Html.AntiForgeryToken helper (consulte enlace ) con la siguiente sintaxis:

Formularios web:

<%= Html.AntiForgeryToken() %>

Razor:

@Html.AntiForgeryToken()