请帮助我解决在使用asp.net 2.0时发现的CSRF问题。
问题描述:
[1/3]跨站请求伪造 严重程度:中等 测试类型:应用 易受攻击的网址:https://somesite/somepage.aspx 补救任务:拒绝恶意请求
推理: 在不同的会话中发送了两次相同的请求,并收到了相同的响应。 这表明没有任何参数是动态的(会话标识符仅在 cookie)因此应用程序容易受到此问题的影响。
答案 0 :(得分:1)
我建议您阅读CSRF,以确定您想要保护的内容以及原因。基本上,CSRF的问题是攻击者可以冒充您并获取您的数据。您可以通过在请求中传递会话信息来更改此信息,而不仅仅是从cookie中传递。这使您的会话免受此类攻击。这是一个比我能给出的更好的解释:
http://palisade.plynt.com/issues/2008Jun/cross-site-request-forgery/
以下是关于安全问题(包括CSRF)的两部分文章以及如何解决这些问题:
http://palisade.plynt.com/issues/2009Dec/secure-coding-aspdotnet/
http://palisade.plynt.com/issues/2010Apr/secure-coding-aspdotnet-p2/
还有一个名为AntiCSRF的CodePlex项目可以轻松解决这些类型的问题(虽然它暂时没有更新):