那些遇到过的问题

ASP.NET MVC - AntiForgeryToken 是否会阻止用户更改发布的表单值?

Mar*_*rek 1 security asp.net-mvc

据我所知,ASP.NET MVC 中的 AntiForgeryToken 功能确实可以防止跨站点攻击。

但是,它是否会阻止在 POST 之前更改表单值?

例如,恶意攻击者可能会发现评级页面始终包含包含评级实体 ID 的隐藏字段,并创建 POST 请求来人为地对自己的所有实体进行高评级。

确保 GET 和 POST 之间的表单值不被更改的首选方法是什么?

Dar*_*rov 5

AntiForgeryToken 可防止恶意站点欺骗用户使用看起来与原始表单相同的表单并将其发布到原始站点。它不会阻止您所描述的场景。以下是攻击者绕过令牌的方法:

  1. 黑客向表单发送 GET 请求。
  2. 他读取 AntiForgeryToken 生成的 cookie 的值
  3. 他通过发送 cookie、与 cookie 具有相同值的 RequestVerificationToken 隐藏字段以及修改后的实体 ID 来 POST 到处理表单操作的 url。

正如您所看到的,与未使用 AntiForgeryToken 的唯一区别是,黑客需要发送额外的 GET 请求来读取令牌的值。

除了验证提交表单的用户(我认为为了投票,必须对用户进行身份验证)是否不是实体 ID 的所有者之外,绝对没有办法阻止攻击者修改隐藏字段的值。正在投票。

归档时间:

查看次数:

1129 次

最近记录:

16 年,1 月 前
相关归档
检测到的ASP.NET网页版本冲突:指定版本为"1.0.0.0",但在ASP.MET MVC 3中bin中的版本为"2.0.0.0" 32
CKEditor图像上传 24
CSRF:我可以使用cookie吗? 22
怎么解决?假设程序集引用'System.Web.Mvc 22
保护 firebase 数据库侦听器免受 Web DOS 攻击并滥用普通凭据 11
需要帮助了解MySQL注入 9
使用MVC Web应用程序时,Nhibernate的最佳缓存是什么? 8
ASP.NET Mvc - System.Web.Compilation.CompilationLock 7
渲染视图时foreach上的奇数nullreference错误 7
安全使用gmail和heroku 4
难疑归档
使用Git将最近的提交移动到新分支 4647
检测未定义的对象属性 2742
深度克隆对象 2135
C#中两个问号共同意味着什么? 1540
修复一个Git分离的头? 1318
使用pip安装特定的软件包版本 1199
如何从Git存储库中删除.DS_Store文件? 1167
require,include,require_once和include_once之间的区别? 1166
在Python中将两个列表转换为字典 1101
如何在psql中切换数据库? 1029