tokens anti CSRF con una caja negra

Navega tus respuestas
0

Considere una aplicación que desarrolle que use algo como la biblioteca OWASP CSRFGuard. ¿Qué se puede hacer para protegerse contra XSS si la aplicación llama a una aplicación de caja negra de terceros que no tiene manera de almacenar y devolver el token cuando el control se transfiere de nuevo a su aplicación? Es posible que no tenga control sobre el envío de cookies por la aplicación de caja negra. La URL en la declaración podría incluir un parámetro estático que solo es conocido por el servidor, pero que no parece ser un enfoque sólido. ¿Alguna solución mejor?

    
pregunta infosecnewb 09.06.2016 - 23:00
fuente

1 respuesta

1

Parece que le preocupa que el código de su servidor web confíe en una biblioteca de terceros que genera contenido dentro de su respuesta HTTP. Esta es una preocupación muy válida.

Si todo lo que genera son tokens CSRF, es decir, algunas cadenas, tiene sentido agregar XSS protection (caracteres de listas blancas, caracteres especiales que escapan ...). Esto debería eliminar la mayoría de los probables vectores XSS que introduce su biblioteca de caja negra.

Por otra parte, si la biblioteca está generando JavaScript que está incrustado en su respuesta, es posible que desee cookies HTTPOnly, para limitar la visibilidad de su DOM. En este último caso, también podría considerar implementar una Política de seguridad de contenido . Sin embargo, esto es mucho más difícil de implementar correctamente. También es posible que desee estudiar y registrar el código del lado del cliente generado por la biblioteca.

    
respondido por el Jedi 15.06.2016 - 22:38
fuente

Lea otras preguntas en las etiquetas

Alcance de DSS de PCI fuera de CDE ¿Por qué los dominios https.lk, ftp.lk y http.lk están restringidos en el registro de dominios de Sri Lanka?