私は、偽造トークンhtmlヘルパーを、ユーザー入力を受け付けるすべてのビューで使用し、関連するアクションメソッドで[ValidateAntiForgeryToken] CSRF攻撃の可能性があります。 しかし、私はどのようにこれらのコード行がうまく動作している可能性があるかをテストすることができ、攻撃を防ぐことができないという問題に直面しています。 BR私のwasp.net MVC 3 WebサイトがCSRF攻撃から保護されていることをテストする方法
0
A
答えて
1
どこでもホストできる静的なHTMLページを作成できます。 Webサーバーが必要ない場合は、たとえばfile:///c:/foo.htm
を使用できます。このHTMLページでは、簡単な<form>
を作成します。この要素には、CSRFに対してテストするASP.NET MVCビューと同じ入力要素(同じ名前)が含まれています。フォームのaction
は、ASP.NET MVCビューと同じアクションを指します。フォームを提出してください。 AntiForgeryToken例外がスローされた場合、あなたは安全です。一方、コントローラのアクションが実行されると、CSRFの攻撃に対して脆弱です。
CSRFの詳細については、following articleをご覧ください。ジェフアトウッドもbloggedです。
あなたが実行するいくつかの奇跡のツールを期待するだけではなく、緑色または赤色の光が表示されます。このようなツールが存在すると、ハッカーは存在しません。なぜなら、すべてのサイトが保護され、ハッキングする必要がないからです。
サイトが安全であることを確認する最も良い方法は、広範な監査とコードレビューを行うセキュリティ専門家に相談することです。
関連する問題
- 1. DoS攻撃からWebサイトを保護する方法
- 2. XSS攻撃からApacheサーバのディレクトリリストを保護する方法
- 3. CSRF攻撃を実証する方法
- 4. SafariでMITM攻撃からWebサーバーを保護する
- 5. Amazon Webサービス(AWS)S3をDDoS攻撃から保護する
- 6. GWTP XSRF攻撃からの保護
- 7. AWSは私のサイトをDDoS攻撃から保護しますか?
- 8. Heroku PostgresをMITM攻撃から保護していますか?
- 9. DDoS攻撃..サーバを保護する方法
- 10. SQL/XXS攻撃から保護するクラス?
- 11. リプレイ攻撃からAPIを保護する
- 12. 攻撃からASP.NETアプリケーションをテストする
- 13. フォーム認証 - Cookieリプレイ攻撃 - 保護
- 14. CAPTCHAなしのDoS攻撃からの保護
- 15. オブジェクトIDが私のasp.net MVC Webアプリケーション内の攻撃者のユーザによって変更されていないことを確認する方法
- 16. このサニタイズ機能はほとんどの攻撃から保護されますか?
- 17. tomcatを保護する6 apr SSLをBEAST攻撃する
- 18. CSRF攻撃をシミュレートします
- 19. csrfトークン:CSRF攻撃が検出されました。バックエンド用のみ
- 20. WebサイトはDoS攻撃から復旧しますか?
- 21. ASP.NET MVCのAntiForgeryTokenはすべてのCSRF攻撃を防ぎますか?
- 22. iOSのアプリ内購入に対する攻撃の保護
- 23. Spring RESTful WebサービスでCSRF保護を処理する方法は?
- 24. Rails APIがCSRFから保護されていることを確認するには?
- 25. HTTPS攻撃とMITM攻撃
- 26. ハッカーは何をウェブサイトにすることができますか、これらの攻撃から自分のウェブサイトをどうやって保護しますか?
- 27. URLとmod_rewrite:多くの特殊文字を使用して攻撃からデータを保護する
- 28. csrfの保護
- 29. webHttpBindingを使用してWCFサービスに対してCSRF攻撃を実行することは可能ですか?
- 30. このタイルパズルを攻撃する方法は?
広範な(高価な)監査とコードレビューを実行します。 – Rafay
@ 3nigma、あなたが支払う人です。もちろん、あなたはすでに無料でそれをやる人を知っていない限り。もちろん彼を雇う前に彼の資格情報を確認してください。 –