私は、偽造トークンhtmlヘルパーを、ユーザー入力を受け付けるすべてのビューで使用し、関連するアクションメソッドで[ValidateAntiForgeryToken] CSRF攻撃の可能性があります。 しかし、私はどのようにこれらのコード行がうまく動作している可能性があるかをテストすることができ、攻撃を防ぐことができないという問題に直面しています。 BR私のwasp.net MVC 3 WebサイトがCSRF攻撃から保護されていることをテストする方法
0
A
答えて
1
どこでもホストできる静的なHTMLページを作成できます。 Webサーバーが必要ない場合は、たとえばfile:///c:/foo.htm
を使用できます。このHTMLページでは、簡単な<form>
を作成します。この要素には、CSRFに対してテストするASP.NET MVCビューと同じ入力要素(同じ名前)が含まれています。フォームのaction
は、ASP.NET MVCビューと同じアクションを指します。フォームを提出してください。 AntiForgeryToken例外がスローされた場合、あなたは安全です。一方、コントローラのアクションが実行されると、CSRFの攻撃に対して脆弱です。
CSRFの詳細については、following articleをご覧ください。ジェフアトウッドもbloggedです。
あなたが実行するいくつかの奇跡のツールを期待するだけではなく、緑色または赤色の光が表示されます。このようなツールが存在すると、ハッカーは存在しません。なぜなら、すべてのサイトが保護され、ハッキングする必要がないからです。
サイトが安全であることを確認する最も良い方法は、広範な監査とコードレビューを行うセキュリティ専門家に相談することです。
関連する問題
- 1. DoS攻撃からWebサイトを保護する方法
- 2. シングルページWebAPIをCSRF攻撃から保護する方法は?
- 3. クロスドメインクライアントから呼び出された場合、CSRF攻撃からWeb APIを保護する方法は?
- 4. マスターページのないASP.NET WebフォームでのCSRF攻撃からの保護
- 5. 複数のブラウザタブでPHPのCSRF攻撃から保護
- 6. XSS攻撃からApacheサーバのディレクトリリストを保護する方法
- 7. SafariでMITM攻撃からWebサーバーを保護する
- 8. Amazon Webサービス(AWS)S3をDDoS攻撃から保護する
- 9. DoS攻撃からサーバーを保護する方法は?
- 10. CSRF攻撃を実証する方法
- 11. GWTP XSRF攻撃からの保護
- 12. AWSは私のサイトをDDoS攻撃から保護しますか?
- 13. Captchaは悪い練習ですか?ブルートフォース攻撃者からの保護方法
- 14. Heroku PostgresをMITM攻撃から保護していますか?
- 15. DDoS攻撃..サーバを保護する方法
- 16. iXGuardを使用して攻撃者からiOSアプリケーションを保護する方法
- 17. CSRF攻撃のブラックリスト
- 18. SQL/XXS攻撃から保護するクラス?
- 19. SpringでのCSRF攻撃を防ぐ方法mvc 4
- 20. リプレイ攻撃からAPIを保護する
- 21. 状態パラメータがCSRF攻撃を防止する方法
- 22. 攻撃からASP.NETアプリケーションをテストする
- 23. 私の反応ネイティブアプリケーションをMITM攻撃から保護することは可能ですか?
- 24. フォーム認証 - Cookieリプレイ攻撃 - 保護
- 25. 偽の攻撃からのREST APIの保護
- 26. CAPTCHAなしのDoS攻撃からの保護
- 27. 法的サイトSQLインジェクション攻撃
- 28. 攻撃からウェブサイトを守る方法
- 29. WebサイトはDoS攻撃から復旧しますか?
- 30. このサニタイズ機能はほとんどの攻撃から保護されますか?
広範な(高価な)監査とコードレビューを実行します。 – Rafay
@ 3nigma、あなたが支払う人です。もちろん、あなたはすでに無料でそれをやる人を知っていない限り。もちろん彼を雇う前に彼の資格情報を確認してください。 –