はCSRFで、単純なHash Calculator PHPアプリケーションの脅威ですか？

Question

私はハッシュ計算機のコースワークに取り組んでいます。これは、メインページに、ユーザーがハッシュを提出し、テキストを取得して詩をバイスすることを許可したフォームを2つ提出する単純なWebアプリケーションです。

アプリケーションは簡単ですが、内部にセキュリティ機能を実装する必要があります。私はSQLとXSSの攻撃を軽減することができました。次に、2つの脆弱性評価スキャナ「Acunetix」と「Nessus」を使用することにしました。どちらのスキャナでも、自分のアプリケーションがCSRFに対して脆弱であることがわかりました。この攻撃に対する保護は、セッションとランダムトークンをPHPで実装することです。

私はこの攻撃とそれが何をしているのか読んでいます。しかし、私は非常にこの攻撃は主にすでに認証されたユーザーとクッキーに焦点を当てているので、私の質問は非常に混乱している？ハッシュとプレーンテキストを返すだけで復旧するセッションやトークンをアプリケーションに埋め込む必要はありますか？はいの場合、どうすればいいのでしょうか？

ありがとうございました！

Answer 1

短い回答：あなたはcsrfトークンを必要としない 'ユーザー'（認証）がないので、あなたはしません。

Answer 2

あなたの疑問にお答えしますが、CSRFの保護は意識的な決定でなければなりません。私はあなたが少なくともあなたのアプリケーションでそれをやろうと思っているかもしれないと思うが、ここにその理由がある。

CSRFは悪意のあるWebサイトにアクセスしている間に、ユーザーが誤ってアプリケーション内のアクションを実行してしまうような別のWebサイトです。本当に、これはユーザーが既にログインしているという事実を利用していますが、必ずしもそうであるとは限りません。あなたのアプリケーションのために

、すぐに頭に浮かぶ2 CSRF関連の脅威は、次のとおりです。

• ハッシングは非常にCPU集中型であり、また、他の方法で、大きな虹のテーブル内の検索操作も可能リソース集中。これ自体はすでにサービス拒否の危険にさらされていますが、例えば、あまりにも多くのリクエストでソースIPをフィルタリングすることでこれを防ぐことができます。しかし、あなたのアプリがCSRFに対して脆弱である場合、トラフィックの多いウェブサイトでは訪問者がアプリ内でそのような操作を行い、分散DoSを効果的に実行することができます。

• 非常に同様に、あなたがアプリのAPIを持っていてCSRFに対する保護がない（例えば、あなたがaccess-control-allow-origin：*を持っている）場合、他のウェブサイトはそれらと同じくらい多くのクエリを実行できますハッシュまたは検索のいずれかが必要なため、収入の損失またはサービス拒否の分散を招く可能性があります）。これらは、あなたの正確なユースケースには適用されません

はたぶん、私はいかなる種類のセッション状態が存在しないにもかかわらず、CSRFは確かに問題になることに注意したかった、とツールが体系的なを明らかに潜在的な脅威を脅威モデルといいます。