CSRF защита

Question

Много написано о предотвращении CSRF .

Но я просто не понимаю: почему я не могу просто проанализировать токен csrf в форме целевой страницы и отправить его с моим запросом на подделку?

Answer 1

CSRF-атаки являются слепыми. Они совершают сеанс, и атакующий не имеет прямого контроля, если только он не может извлечь токен через уязвимость XSS. Обычно можно использовать токен всей сессии. Вращение токенов по запросу может быть излишним и привести к ложным тревогам. Я предпочитаю использовать токены для ресурса с основным токеном сеанса.

Answer 2

Если вы можете внедрить код скрипта в целевую страницу (XSS), тогда да, вы можете сделать это, что сделает предотвращение CSRF бесполезным.

Токен CSRF должен храниться на странице в конце-пользователь получает (или не знает).

Фактически, при оценке безопасности XSS обычно оценивает не свой потенциал повреждения, а его использование именно в таких атаках.

Answer 3

Токен CSRF должен быть каждый раз для каждого пользователя и для каждого запроса совершенно другим токеном, поэтому он никогда не будет угадан злоумышленником.

Для php, .net и javascript загляните в OWASP CSRFGuard Project - если вы работаете с java и jsf 2.x, его уже сохраняют в CSRF (если вы используете POST, а не GET - для этого вам придется ждать JSF 2.2), иначе, если вы работаете без JSF, интерфейс HTTPUtillities из OWASP ESAPI также может быть очень полезным!

Answer 4

Поскольку значение токена CSRF заранее неизвестно.