回答情况:
提问时间:
问题标签:
最近,大多数浏览器增加了对SameSite cookie属性的支持,以防止CSRF攻击:https://www.owasp.org/index.php/SameSite。如果支持,我们是否应该实现同步器令牌模式来防止CSRF攻击?CSRF攻击?添加的什么是可能的攻击</em
浏览 0修改于2019-01-17得票数 2
回答已采纳
1回答
我想模拟CSRF攻击来检查我的网站漏洞。我在我的asp.net but应用程序上尝试了一下,但模拟失败。所以请帮我模拟一下CSRF攻击。我已经通过使用test.aspx进行了模拟。
浏览 2修改于2011-07-07得票数 5
假设我有一个web应用程序,在其身份验证方案中使用了JWT令牌和CSRF令牌。据我所知,它是这样运作的:
服务器还发送没有httpOnly设置的CSRF令牌,以便JavaScript code.可以读取它。当客户机提出任何未来的请求时,JWT cookie将自动发送,CSRF必须在请求头中设置。这应该可以防止CSRF攻击,因为CSRF cookie
浏览 0提问于2018-11-29得票数 1
我在这里看到的一件事是:和
使用刷新令牌可以减少CSRF攻击。这种方法在CSRF攻击中也是安全的,因为即使表单提交攻击可以进行/refresh_token API调用,攻击者也无法获得返回的新JWT令牌值。JWT 的值,当然,CSRF攻击者可以使用这个新的发送另一个请求,其中包含新的JWT令牌sinde。如果我的理解是正确的,我正在努力了解如何使用刷新令牌来防止CSRF攻击。有人能解释清楚为什么刷新令牌可以
浏览 4修改于2021-01-24得票数 6
但是,"httpOnly“cookie容易受到CSRF攻击的攻击,因为它们是与请求一起自动发送的。
为了减轻CSRF攻击,建议使用同步令牌模式(让服务器生成csrf令牌并与客户端交叉校验)。我的问题是,如果有“记住我”的cookie,那么CSRF攻击(恶意JavaScript)是否有可能发出请求并随后从服务器获得csrf令牌?值得关注的是,如果攻击同时具有可以发送请求的标记,那么应用程序的安全性就会受到损害
浏览 0提问于2016-05-30得票数 1
回答已采纳
当web应用程序易受此类攻击时,它会将未经验证的输入通过请求传递回客户端.[1](https://www.owasp.org/index.php/Testingfor_Reflected_Cross_site_scripting(OTG-INPVAL-001%29)
假设我的webapp在服务器上有一个CSRF验证,检查所有请求的有效CSRF令牌。如果它收到任何不包含CSRF令牌的请求(这个错误是一个简单的字符串,它没有攻击向量),它就会产生正确的错误。为了完整起见
浏览 0提问于2014-08-27得票数 10
回答已采纳
1回答
我已经启用了csrg_regenerate设置为true的CSRF保护。它工作得很好,每次在Post请求时都重新生成令牌,验证也同样有效。除此之外,我还将我的cookie设置为同一站点的严格连接。然后我向安全小组提交了渗透测试评估,他们因为csrf攻击漏洞拒绝了我的工作。
它们的响应: CSRF令牌没有安全地实现。攻击者仍然可以使用csrf_cookie_name Cookie和
浏览 1修改于2018-11-29得票数 0
我尝试在我的for应用程序中实现CSRF攻击,它是使用codeigniter框架实现的,这个框架已经有了一个保护CSRF攻击的选项。我的问题是我不知道如何在Ajax调用中避免CSRF攻击。
浏览 21提问于2019-10-18得票数 0
从:CSRF攻击起作用,因为浏览器请求自动包含所有cookie,包括会话cookie。在我发现的一些示例代码中,基本上找到了这个算法。攻击者:
然后,攻击者窃取此会话cookie作为受害者登录。双重提交cookie可以防止此攻击,因为攻击者还需要在HTTP报头中提供有效的CSRF令牌。我仍然不明白这一点:如果浏览器请求自动包含所有
浏览 3提问于2021-01-22得票数 6
我知道他们说CSRF令牌是防止CSRF攻击的最安全的方法,但是如果有人使用XHR检索包含csrf令牌的页面以及表单,然后使用该令牌进行攻击呢?为什么他们不说“引用”标题是最安全的方式,以防止CSRF的攻击?毕竟,几乎99%的当前正在使用的浏览器将提供"Referer“报头,而攻击者无论如何也无法更改它。(是的,他做不到,除非浏览器/操作系统本身被破坏)
现在我用"referer“头保护我的网站,我真的需要csrf<
浏览 0提问于2020-03-26得票数 3
回答已采纳
是否可以通过单击劫持漏洞执行CSRF?
假设我的网站被完全保护不受csrf攻击,但是没有XFO,那么有任何方法可以通过点击攻击漏洞来利用CSRF吗?我听说过xmlhttprequest,如果没有XFO但有csrf保护,可以使用它来执行csrf,所以有什么想法吗?
浏览 5提问于2014-04-21得票数 3
回答已采纳
没有特定的反csrf令牌。据我所知,为了执行成功的CSRF攻击,攻击者必须能够同时获得viewstate值和事件验证值。如果是这样的话,表单是否安全,不受CSRF攻击?
浏览 0提问于2014-12-15得票数 9
假设攻击者拥有一个域,attacker.com。攻击者希望在其上创建一个网页,以便对victim.com服务器进行CSRF攻击。通过这样的设置,我无法找到攻击者创建CSRF页面的方法:如果攻击者制造了一个const xhrxhr.setRequestHeader('Accept', 'applica
浏览 0提问于2019-07-22得票数 1
回答已采纳
我的问题是关于XSS/CSRF攻击的ASP.NET MVC 5。但此令牌只能与POST请求一起使用。根据我的测试团队,为了防止CSRF攻击,每个请求都应该有一个令牌号,并且他们只要求有POST请求,而不是一个GET请求。所以我的问题是:
如何通过GET请求生成和发送抗伪造令牌?
浏览 6修改于2014-07-08得票数 1
回答已采纳
我正在尝试在我的一个项目中使用CSRF令牌实现CSRF保护。我对此并不熟悉,在阅读有关在请求中向服务器发送CSRF令牌的文章时,我发现推荐将CSRF令牌作为HTTP POST发送,而不是GET。我的问题是:
如果HTTP URL在GET请求中暴露了CSRF令牌,并且潜在攻击者可以使用此CSRF令牌创建CSRF请求并使用Javascript进行攻击,那么当CSRF令牌作为隐藏字段存储在表单中时,如果我的站点有XSS漏洞
浏览 2修改于2016-09-04得票数 2
我读过JWT令牌不应该存储在localStroage中,因为XSS攻击可以读取它们。提出的解决方案是在HTTPOnly cookies中存储JWT令牌,并使用反CSRF/双提交cookie。OWASP说,所有CSRF解决方案都容易受到XSS的攻击。如果是这样的话,那么使用CSRF的HTTPOnly cookie中的JWT是否同样容易受到XSS的攻击呢?如果是这样的话,为什么还要麻烦w/ CSRF而只将您的JWT存储在localStorage中呢?
浏览 0修改于2016-04-11得票数 4
我了解CSRF是如何工作的,为什么它工作,以及如何减轻它。现在,我有一个web应用程序,它容易受到CSRF的攻击,我想知道是否有人成功地对我的web应用程序进行了CSRF攻击。如果有CSRF,有没有办法记录它
谢谢Suzee
浏览 2提问于2012-09-26得票数 0
我目前正在研究CSRF和DNS重新绑定攻击,我想知道确切的区别是什么。据我所知,DNS重新绑定可以绕过CORS,从而从侦听本地主机上的服务获得攻击者无法获得的信息。然而,CSRF只允许攻击者欺骗用户对本地主机上侦听的服务执行特定操作,但不允许任何信息提取(因为CORS将阻止这种操作)。对吗?
此外,什么是保护机制,以防止CSRF和DNS重新绑定?CSRF可以通过反csrf令牌来防止:这也是针对DNS重新绑定的对策吗?
浏览 0提问于2019-04-16得票数 2
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号