【发布时间】:2017-08-07 23:06:36
【问题描述】:
如果注销请求未使用 XSRF/CSRF 令牌进行验证,会有什么安全漏洞?
【问题讨论】:
标签: security csrf logout logoff
【发布时间】:2017-08-07 23:06:36
【问题描述】:
不要将 Anti-CSRF 令牌视为在单个端点/请求上实现的机制。理想情况下,这种机制是作为您正在开发的框架的关键部分。
An Anti-CSRF 可能在注销链接上似乎是多余的,这不是我担心的问题。我担心的是设计一个允许,或者更确切地说,不强制执行 Anti-CSRF 机制的系统。
在这种情况下,CSRF 可能看起来是良性的。但是,当注销链接容易受到 XSS 攻击时会发生什么?突然间,Anti-CSRF 令牌不再保护你了。
始终练习Defence in Depth,因为您的安全性应该分层包装,Anti-CSRF 就是其中之一。
【讨论】:
可以与OWASP A10 结合使用,例如攻击者还提供了一个返回 URL,该 URL 指向错误的地方,例如一个伪造的“再次登录”页面,他可以在其中获取您的密码。
【讨论】:
-
在我们的上下文中,我们没有将任何 URL 参数作为“返回 URL”,所以现在应该没问题。但我完全同意 Juxhin 在下面写的,有这个想法已经很危险了。系统/代码是动态的,总有一天,有人可能会将其更改为您提到的情况以支持可配置的返回 URL,然后就糟透了...