私はCSRFとSSLを実装しようとしています(完全に依存しているわけではありません)。 ご理解のほどよろしくお願いします。
ほとんどすべてのセキュアなアプリケーションでCSRFトークンが表示されます。CSRFの基本とSSLとCSRFの関係
どのようにクロスサイトリクエストフォージェリ(CSRF)が動作します:
あなたはあなたの銀行口座にログインしている(。例えばSBIまたはJPMC)とあなたのアカウントを見ているか、それはちょうどちょうどあなたのブラウザ上での開設を座っていますあなたが忙しかったので。 メールが次のタブでテキスト/画像などのものになることがあります。電子メールが受信された瞬間、onloadなどのJavaスクリプト関数があなたのブラウザからGET/PUT/POST要求を引き起こす可能性があります。 ここで注目すべきことは、安全なページが暗号化されている適切なSSLを持っているので、CSRFが実際にあなたのセキュリティで保護されたWebページから何かを読むことができないということです。また、CSRFはあなたの信任状を盗むことはできません。実際には、暗号化されているため、安全なウェブサイト内の隠しタグ内に保持されているCSRFトークンを見つけることはできません。これは、あなたがウェブサイトで自分自身を認証し、受信した要求に従ってサーバにログインしたばかりのブラウザからの要求がサーバーに送信されたと考えさせる要求を起動した後でのみ機能します。あなたによって認証されたセッションから、要求を転送するために言って解雇され、あなたは知らなくても
したがって<img src="https://www.bankWebsite.com/transfer?amount=1000&destination=8990">
:ハッカーがそれトリックURLを送信するために、ブラウザ、CSRF攻撃を開こうと今
アカウント番号8990 n BOOMの1000の金額。あなたは1000ドルのために奪われた。
youselfを保護する方法: CSRF保護は、いくつかの方法で行うことができます
:
1)) 2ヘッダ
からリクエストの発信元を確認要求
3)CSRFのターゲットを確認トークン
CSRFトークン保護仕組み:
ヘッダ/クッキーに存在におけるCSRFトークン。したがって、ハッカーがブラウザにリクエストを送信してサーバーに送信すると、トークンはヘッダーにのみ表示され、送信されたフォームには表示されません。したがって、CSRFトークンが受信されたかどうかをチェックするためにサーバがチェックすると、ヘッダからのCSRFトークンをフォーム/リクエストから受信したトークンと一致させようとします。存在しない/一致しない場合、サーバーは攻撃であると識別し、さらに侵入する要求を停止します。
CSRFの攻撃、保護についての私の理解が正しいかどうかを私に教えてください。
また、 SSLを正しく実装していないとを意味しますが、CSRFは役に立たないのですか?
質問は...ですか? – Andreas
@Andreasの目的は、CSRFの必要性とCSRFに対する保護の理解が正しいかどうかを知ることで、プロジェクトの設計を開始できるかどうかを知ることです。 –
[OWASP:クロスサイトリクエスト偽造(CSRF)](https://www.owasp.org/index.php/CSRF) – Andreas