私は、偽造トークンhtmlヘルパーを、ユーザー入力を受け付けるすべてのビューで使用し、関連するアクションメソッドで[ValidateAntiForgeryToken] CSRF攻撃の可能性があります。 しかし、私はどのようにこれらのコード行がうまく動作している可能性があるかをテストすることができ、攻撃を防ぐことができないという問題に直面しています。 BR私のwasp.net MVC 3 WebサイトがCSRF攻撃から保護されていることをテストする方法
どこでもホストできる静的なHTMLページを作成できます。 Webサーバーが必要ない場合は、たとえばfile:///c:/foo.htmを使用できます。このHTMLページでは、簡単な<form>を作成します。この要素には、CSRFに対してテストするASP.NET MVCビューと同じ入力要素(同じ名前)が含まれています。フォームのactionは、ASP.NET MVCビューと同じアクションを指します。フォームを提出してください。 AntiForgeryToken例外がスローされた場合、あなたは安全です。一方、コントローラのアクションが実行されると、CSRFの攻撃に対して脆弱です。
CSRFの詳細については、following articleをご覧ください。ジェフアトウッドもbloggedです。
あなたが実行するいくつかの奇跡のツールを期待するだけではなく、緑色または赤色の光が表示されます。このようなツールが存在すると、ハッカーは存在しません。なぜなら、すべてのサイトが保護され、ハッキングする必要がないからです。
サイトが安全であることを確認する最も良い方法は、広範な監査とコードレビューを行うセキュリティ専門家に相談することです。
広範な(高価な)監査とコードレビューを実行します。 – Rafay
@ 3nigma、あなたが支払う人です。もちろん、あなたはすでに無料でそれをやる人を知っていない限り。もちろん彼を雇う前に彼の資格情報を確認してください。 –