사용자 입력을 허용하는 모든보기에서 위조 토큰 html 도우미를 사용하고 관련 작업 방법에서 [ValidateAntiForgeryToken]을 사용하여 보호합니다 가능한 모든 CSRF 공격으로부터. 그러나 나는이 코드 라인이 잘 작동하고 가능한 공격을 막을 수 있는지 테스트 할 수있는 방법에 문제가 있습니다. BR내 wasp.net MVC 3 웹 사이트가 CSRF 공격으로부터 보호되는지 테스트하는 방법
0
A
답변
1
어디서나 호스팅 할 수있는 정적 HTML 페이지를 작성할 수 있습니다. 웹 서버가 필요 없어도, 예를 들어 file:///c:/foo.htm
을 사용할 수 있습니다. 이 HTML 페이지에서 CSRF에 대해 테스트하려는 일부 ASP.NET MVC보기와 동일한 입력 요소 (동일한 이름)를 포함하는 간단한 <form>
을 만듭니다. 양식의 action
은 ASP.NET MVC보기와 동일한 동작을 가리 킵니다. 그런 다음 양식을 제출하십시오. AntiForgeryToken 예외가 throw되면 안전합니다. 반면에 컨트롤러 동작이 실행되면 CSRF 공격에 취약합니다.
CSRF에 대한 자세한 내용은 following article을 참조하십시오. 제프 앳 우드도 그것에 대해 blogged.
그리고 당신이 달리는 기적의 도구를 기대하지 않고 녹색 또는 적색 빛을 보일 것입니다. 이러한 도구가 존재한다면 해커는 존재하지 않을 것입니다. 모든 사이트가 보호되고 해킹 할 것이 없기 때문입니다.
사이트가 안전한지 확인하는 가장 좋은 방법은 광범위한 감사 및 코드 검토를 수행하는 보안 전문가와상의하는 것입니다.
광범위한 감사 (비싼) 감사 및 코드 검토를 수행 할 사람은 누구입니까? – Rafay
@ 3nigma, 지불 대상자입니다. 물론 당신이 이미 무료로 그것을 할 사람을 알지 않는 한. 물론 그를 고용하기 전에 자신의 자격 증명을 확인하십시오. –