tokens anti-CSRF en un entorno HTTPS

7

¿Realmente tiene sentido usar tokens anti-CSRF en una aplicación web a la que solo se accede con HTTPS? En caso afirmativo, ¿cuáles son las posibles formas de atacar una aplicación web de este tipo si no hay tokens anti-CSRF?

    
pregunta Paul Podlipensky 10.01.2012 - 21:45
fuente

1 respuesta

8

Sí, tiene sentido. HTTPS no hace nada para protegerlo contra los ataques CSRF. Debería realizar un ataque CSRF como lo haría contra un sitio web habilitado para HTTP.

Eche un vistazo a la descripción CSRF de OWASP para comprender cómo funciona. Será obvio que el cifrado del canal de comunicación es irrelevante para este tipo de ataque.

    
respondido por el Demento 10.01.2012 - 22:00
fuente

Lea otras preguntas en las etiquetas