那些遇到过的问题

GWT RPC - 它是否足以抵御CSRF?

Sri*_*nan 10 security gwt csrf gwt-rpc

更新:GWT 2.3引入了更好的机制来对抗XSRF攻击.请参阅http://code.google.com/webtoolkit/doc/latest/DevGuideSecurityRpcXsrf.html

GWT的RPC机制在每个HTTP请求上执行以下操作 -

  1. 设置两个自定义请求标头 - X-GWT-Permutation和X-GWT-Module-Base
  2. 将content-type设置为text/x-gwt-rpc; 字符集= utf-8的

HTTP请求始终是POST,在服务器端GET方法抛出异常(不支持方法).

此外,如果未设置这些标头或具有错误的值,则服务器会因"可能是CSRF?"而异常处理.或者那种效果.

问题是:这是否足以阻止CSRF?有没有办法在纯交叉站点请求伪造方法中设置自定义标头和更改内容类型?

roo*_*ook 6

如果浏览器正在使用此GWT RPC,则它100%容易受到CSRF的攻击.content-type可以在html <form>元素中设置. X-GWT-Permutation并且X-GWT-Module-Base不在Flash的禁止标题黑名单上.因此,可以使用闪存进行CSRF攻击.您可以信任的唯一标题元素是CSRF保护是"referer",但这并不总是最好的方法.尽可能使用基于令牌的CSRF保护.

以下是我写过的一些漏洞,它们应该对我所描述的模糊攻击有所了解.对此的flash漏洞看起来像这样, 是一个改变内容类型的js/html漏洞.

我的漏洞是为Flex 3.2编写的,Flex 4中的规则已经改变(Flash 10)这是最新规则,大多数头文件只能用于POST请求.

navigateTo()用于CSRF的Flash脚本:https: //github.com/TheRook/CSRF-Request-Builder

  • XmlHttpRequest,Flash和许多其他技术可以设置自定义浏览器标头 - 但同源策略启动并将阻止其他网站发出请求.除非服务器具有宽松的crossdomain.xml,或者将Access-Control-Allow-Origin返回到任意网站,否则请求如何工作?这只留给我们表格/图片/ iframe等,其中同源政策不适用.但我不知道他们可以设置自定义http标头的方式.那么,它是如何脆弱的? (2认同)

归档时间:

查看次数:

11434 次

最近记录:

9 年,6 月 前
相关归档
我可以用PHP提供MP3文件吗? 10
在 SPring Boot 2.1.1 中扩展 GlobalMethodSecurityConfiguration 时出现错误,指出“methodSecurityInterceptor”已被定义 9
ASP.net MVC中的自定义表单身份验证/授权方案 8
允许开发人员创建 AWS Lambda 或 SAM,而无需授予管理员访问权限 7
在没有消毒的情况下将用户输入显示为输入值是否安全? 6
为 api 访问生成安全令牌 6
Safe Process.Start实现不受信任的URL字符串 5
在PHP中设置管理区域最安全的方法是什么? 5
保护访问微光闪亮的应用程序 3
解密 AES-GCM 时遇到问题 3
难疑归档
HashMap和Hashtable之间的区别? 3604
将本地存储库分支重置为远程存储库HEAD 3488
package.json中的波浪号(〜)和插入符号(^)有什么区别? 3111
如何在Python中复制文件? 2171
如何将多行中的文本连接成SQL Server中的单个文本字符串? 1813
var关键字的目的是什么?我何时应该使用它(或省略它)? 1508
如何将分离的HEAD与master/origin协调? 1506
Objective-C中的typedef枚举是什么? 1081
AngularJS中指令范围内的'@'和'='有什么区别? 1053
如何在Ruby on Rails中获取当前的绝对URL? 1030