Google Re-Captcha 2可以阻止CSRF攻击吗?
Cho*_*ang 6 security csrf recaptcha csrf-protection
跨站点请求伪造攻击会在受害者的会话上进行,以将恶意请求提交到受信任的站点。这里的备忘单将CAPTCHA描述为防止CSRF攻击的好方法。
众所周知,Google Re-Captcha可以有效防止垃圾邮件。在具有相同IP地址的位置多次单击后,需要人工解决图片难题。由于前几次尝试只是“免费”,黑客是否有可能通过在前几次尝试中单击“重新验证码”来绕过它?
如OWASP速查表所述,CAPTCHA可以用作击败CSRF的一种方法。
但是,你让我在想。也许,如果攻击者将对Google Recaptcha2小部件的Clickjacking攻击与对使用Recaptcha2保护的页面上的CSRF攻击的后续行动进行了CSRF防御,那么也许这可能对攻击者有利。
更新:
考虑了这一点,Recaptcha2的工作方式是返回一个由私钥签名的值,可以在服务器端检查该私钥。这要求单击当前表单上显示的CAPTCHA,即使没有任何要解决的问题。因此,Recapcha2应该防御CSRF。但是,请确保您的托管页面也具有免受Clickjacking的保护。