防止ASP.NET Core 中的跨網站要求偽造(XSRFCSRF)攻擊 ... | absence of anti csrf tokens
本文內容 FiyazHasan、RickAnderson和SteveSmith[1][2][3]跨網站要求偽造(也稱為XSRF或CSRF)是針對web裝載的應用程式進行攻擊,而惡意的web應用程式可能會影響用戶端瀏覽器與信任該瀏覽器的web應用程式之間的互動。這些攻擊是可能的,因為web瀏覽器會在每個網站要求時自動傳送某些類型的驗證權杖。這種形式的惡意探索也稱為單鍵攻擊或會話騎,因為攻擊會利用使用者先前經過驗證的會話。CSRF攻擊的範例:使用者www.good-banking-site.com使用表單驗證登入。伺服器會驗證使用者,併發出包含驗證的回應cookie。網站很容易...
本文內容Fiyaz Hasan、 Rick Anderson和Steve Smith[1][2][3]
跨網站要求偽造 (也稱為 XSRF 或 CSRF) 是針對 web 裝載的應用程式進行攻擊,而惡意的 web 應用程式可能會影響用戶端瀏覽器與信任該瀏覽器的 web 應用程式之間的互動。 這些攻擊是可能的,因為 web 瀏覽器會在每個網站要求時自動傳送某些類型的驗證權杖。 這種形式的惡意探索也稱為單鍵 攻擊 或 會話騎 ,因為攻擊會利用使用者先前經過驗證的會話。
CSRF 攻擊的範例:
使用者 www.good-banking-site.com 使用表單驗證登入。 伺服器會驗證使用者,併發出包含驗證的回應 cookie 。 網站很容易受到攻擊,因為它會信任透過有效驗證所收到的任何要求 cookie 。
使用者造訪惡意網站 www.bad-crook-site.com 。
惡意網站 www.bad-crook-site.com 包含類似下面的 HTML 表單:
<h1>Congratulations! Youre a Winner!</h1> <form action="http://good-banking-site.com/api/account" method="post"> <input type="hidden" name="Transaction" value="withdraw"> <input type="hidden" name="Amount" value="1000000"> <input type="submit" value="Click to collect your prize!"> </form>請注意,表單的 action 文章會張貼到易受攻擊的網站,而不是惡意網站。 這是 CSRF 的「跨網站」部分。
使用者選取 [提交] 按鈕。 瀏覽器會提出要求,並自動包含要求之網域的驗證 cookie www.good-banking-site.com 。