¿cómo probar csrf si la aplicación web no está usando tokens y no hay usuarios definidos para esa aplicación?

1

Estoy probando una aplicación que no usa tokens anti-csrf para sus solicitudes. No hay usuarios definidos para esta aplicación también. Bueno, en ese caso, ¿cómo llevar a cabo las pruebas de csrf en esta aplicación en particular?

    
pregunta user3601346 12.06.2015 - 11:01
fuente

1 respuesta

1

Relacionado: Protección CSRF para solicitudes no autenticadas, acciones ¿Búsquedas o comentarios? .

Esta pregunta no es un duplicado, ya que está preguntando cómo realizar la prueba.

De la misma forma en la que probarías el CSRF normal. Instale una solicitud al servidor que simularía la solicitud de dominio cruzado que llega. Es decir:

  • Los encabezados Origin y referer se configuraron adecuadamente.
  • No hay encabezados presentes que no puedan establecerse entre dominios (por ejemplo, X-Requested-With ).
  • No hay tokens presentes que un atacante no pueda determinar sin cruzar los orígenes en la sesión del navegador.

Por supuesto, siempre puede realizar una prueba al alojar su propia página para realizar una solicitud de dominio cruzado al sitio que está probando (teniendo cuidado de eliminar cualquier token adicional que no se conozca, por supuesto).

    
respondido por el SilverlightFox 12.06.2015 - 11:43
fuente

Lea otras preguntas en las etiquetas