0
ログオフ要求がXSRF/CSRFトークンで検証されない場合のセキュリティ上の抜け穴は何ですか?ログオフ要求にXSRF/CSRFトークンが必要ですか?
A
答えて
1
個々のエンドポイント/要求に実装されたメカニズムとしてAnti-CSRFトークンを考えないでください。理想的には、このような仕組みは、あなたが開発しているフレームワークの重要な一部として焼かれる。
アンアンチCSRF はここに私を心配するものではありませんログアウトリンク、上で冗長に見えるかもしれません。私が心配しているのは、Anti-CSRFのメカニズムを可能にする、あるいはむしろそれを強制するシステムを設計することです。
この文脈では、CSRFは良性に見えるかもしれません。しかし、ログアウトリンクが脆弱でXSSとは何が起こりますか?突然、Anti-CSRFトークンはもはやあなたを守るためのものではありません。
あなたのセキュリティをレイヤーでラップするという点で、必ずDefence in Depthを実行してください。その中にAnti-CSRFがあります。
1
OWASP A10と組み合わせることができます。攻撃者は、悪意のある場所を指し示すリターンURLも提供します。偽の "サインオン"ページでパスワードを盗むことができます。
関連する問題
- 1. 要求ごとにcsrfトークンを含める必要がありますか?
- 2. ':'の前に '。'が必要ですトークン
- 3. API要求を含むループにコールバックが必要ですか?
- 4. 定数 "{" before ")トークンが必要です
- 5. Quickblox 2.7トークンが必要です
- 6. Alamofire要求パラメータにCSRFトークンを渡す
- 7. この要求には認証が必要です。 Spotify API
- 8. スプリングセキュリティトークン要求に認証が必要です
- 9. InApp請求:java.lang.SecurityException READ_PHONE_STATEが必要です
- 10. oauthでのトークンの要求とアクセス
- 11. iOSで必要なヘッダのPOST要求
- 12. jQueryの.ajax()にCSRFトークンが必要ですか?
- 13. 標高要求に実際にDeveloper APIキーが必要ですか?
- 14. JWT認証トークンで要求に対する要求からIPを検証する
- 15. WebAPI + JWTトークン+ OAuth - クライアントIDが必要ですか?
- 16. 私の場合、トークン認証が必要ですか?
- 17. CSRFトークン - 2つの要求=失敗?
- 18. Spring Cloud REST:400(JWTトークンを要求中)
- 19. Stocktwits、トークン要求の設定方法 - babysteps
- 20. リフレッシュトークンは要求トークンと同じですか?
- 21. URLにドル記号が必要なbashスクリプトのカール要求
- 22. Laravel Dingo認証内部要求にJWTが必要
- 23. C++エラー:エラー: '||'の前にprimary-expressionが必要ですトークン
- 24. エラー: '{'トークンの前にunqualified-idが必要です。
- 25. Cエラー - '*'トークンの前に '...'が必要です。
- 26. ' - 'トークンの前にunqualified-idが必要です
- 27. '&'トークンの前にunqualified-idが必要です
- 28. エラー: '。'の前に一次表現が必要です。トークン
- 29. エラー: '<'トークンの前にunqualified-idが必要です。
- 30. "'トークン'の前にunqualified-idが必要です。 - C++
ここでは、「戻りURL」としてURLパラメータを使用しているわけではないので、これは今のところうまくいくはずです。しかし、私はJuxhinが以下に書いたものに完全に同意しています。この考え方はすでに危険です。システム/コードは動的ですが、ある日、設定可能なリターンURLをサポートするためにあなたが言及したケースに変更されるかもしれません。 –