Как предотвратить атаку с подделкой межсайтовых запросов (XSRF / CSRF) с использованием перезаписи URL?

CSRF / XSRF можно предотвратить с помощью ряда методов.

Один из способов - использовать токен, уникальный для клиентского сеанса, при каждом запросе, отправляемом клиентом на сервер; который проверяется на стороне сервера. Если токен запроса и токен на стороне сервера совпадают, запросу разрешается входить в приложение, а если нет, вход запрещается. Таким образом будет обнаружена CSRF-атака.

Хотя идея, лежащая в основе этой техники, мне очень ясна, я не уверен, как переопределение URL-адресов может помочь предотвратить атаку CSRF? Могут ли гуру безопасности пролить свет на это?


url-rewriting security csrf
person Community    schedule 31.07.2009    source источник

Ответы (1)


arrow_upward
2
arrow_downward

Вот краткая история, в которой рассказывается о перезаписи URL. Он говорит:

Мы могли бы снизить значительную часть риска этих уязвимостей, часто меняя наши URL-адреса - не раз в 200 лет, а раз в 10 минут. Злоумышленники больше не смогут использовать уязвимости приложений путем массовой рассылки отравленных гиперссылок по электронной почте, потому что к тому времени, как сообщения достигнут предполагаемых жертв, ссылки будут сломаны и недействительны.

Что, как я полагаю (и статья соглашается), является одним из аспектов комплексного подхода к предотвращению возникновения этой проблемы. У Microsoft также есть хорошая статья, в которой говорится об этом.

person Community    schedule 31.07.2009