Se solicita una prueba de penetración en uno de los sitios web. He implementado OWASP CSRF Guard en el sitio web. Utiliza encabezados personalizados para la protección CSRF para AJAX. Esto se marcó con mensaje de asunto. No se da ninguna explicación. No estoy seguro de si la afirmación anterior es cierta. ¿Por qué se invalida?
Nota:
Tenga en cuenta que la presencia del token CSRF en el encabezado HTTP invalida la Protección CSRF.
OWASP Csrf Guard agrega a las solicitudes de ajax un encabezado personalizado, "usted especifica el nombre". Así que el encabezado http para mi llamada ajax parece "csrftoken: 4949-2393 -....." Este token luego es verificado por el filtro.
Está diciendo que esto no es una protección suficiente y que un atacante puede acceder al valor y el encabezado http personalizado. No pensé que esto fuera factible usando llamadas GET o ajax. Suponiendo que el atacante conoce el encabezado (registrado en el sitio), ¿cómo puede determinar el valor del token?
No lo entiendo.