Question

У меня есть веб-сайт, который проверяет токены CSRF, когда пользователь входит в систему. Форма выглядит как

<cfoutput>
    <input type="hidden" name="token" value="#CSRFGenerateToken()#" />
</cfoutput>

Позже она проверяется с помощью

if (framework.getCGIRequestMethod() == "post" && !CSRFverifyToken(rc.token))    {
    rc.arMessage.append("<b>Debug:</b> Fail Token");

    return;
    }

Я хотел бы проверитьчто это на самом деле проверка. Срок действия токена истекает или истекает? Изменение this.name= в application.cfc, похоже, ничего не делает. токен основан на доменном имени?

Мне нужно проверить это. Мне не нужно автоматизировать тестирование, просто протестируйте его как-нибудь.

Adrian J. Moreno · Answer 1 · 21 октября 2019

Для проверки используйте что-то вроде https://www.getpostman.com/.

Назначьте страницу действия формы:

Создайте запрос GET;убедитесь, что выдается ошибка.
Создайте запрос POST без поля token;убедитесь, что выдается ошибка.
Создайте запрос POST с полем token и значением, которое не соответствует значению, сгенерированному CSRFGenerateToken();убедитесь, что выдается ошибка.
Создайте запрос POST с token и правильным значением;проверьте правильность обработки.

ColdFusion заставляет CSRF потерпеть неудачу

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

ColdFusion заставляет CSRF потерпеть неудачу

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы