私はハッシュ計算機のコースワークに取り組んでいます。これは、メインページに、ユーザーがハッシュを提出し、テキストを取得して詩をバイスすることを許可したフォームを2つ提出する単純なWebアプリケーションです。はCSRFで、単純なHash Calculator PHPアプリケーションの脅威ですか?
アプリケーションは簡単ですが、内部にセキュリティ機能を実装する必要があります。私はSQLとXSSの攻撃を軽減することができました。次に、2つの脆弱性評価スキャナ「Acunetix」と「Nessus」を使用することにしました。どちらのスキャナでも、自分のアプリケーションがCSRFに対して脆弱であることがわかりました。この攻撃に対する保護は、セッションとランダムトークンをPHPで実装することです。
私はこの攻撃とそれが何をしているのか読んでいます。しかし、私は非常にこの攻撃は主にすでに認証されたユーザーとクッキーに焦点を当てているので、私の質問は非常に混乱している?ハッシュとプレーンテキストを返すだけで復旧するセッションやトークンをアプリケーションに埋め込む必要はありますか?はいの場合、どうすればいいのでしょうか?
ありがとうございました!
CSRFの保護は、フォームからの要求が確実に行われるようにするためです(誰もあなたのバックエンドに投稿することはできません)。 CSRFがなければ、誰でもフロントエンドでバックエンドを使用できます。実際には、あなたがそれを気にするなら、CSRFを追加してください。誰かが自分のサイト/スクリプトからバックエンドに投稿するかどうか気にしない場合、CSRFは必要ありません。 –
@MagnusEriksson Anti-CSRFはMitM /プロキシを保護しません。 – user2864740
@ user2864740もちろんです。あなたをすべてから守るただ一つの保護だけではありません。しかし、このようなアプリケーションでは、私は中間攻撃の男性は本当に大きな脅威ではないと思います。 –