Ich arbeite an Hash Rechner Kursarbeit. Dies ist eine einfache Web-Anwendung, die auf der Hauptseite zwei Formulare enthält, in denen Benutzer Hash-Code eingeben und Text zurück erhalten und einen Vers sperren können.ist CSRF eine Bedrohung in einfachen Hash Calculator PHP-Anwendung?
Obwohl die Anwendung trivial ist, müssen Sicherheitsfunktionen implementiert werden. Es gelang mir, SQL- und XSS-Angriffe zu reduzieren. Dann entschied ich mich, zwei Schwachstellenbewertungsscanner "Acunetix" und "Nessus" zu verwenden. Beide Scanner zeigten mir, dass meine Anwendung für CSRF anfällig ist, und der Schutz vor diesem Angriff besteht darin, Sitzungen und zufällige Token in PHP zu implementieren.
Ich habe über diesen Angriff gelesen und was es tut. Allerdings bin ich sehr verwirrt wegen der Tatsache, dass dieser Angriff sich hauptsächlich auf bereits authentifizierte Benutzer und Cookies konzentriert, so dass meine Frage ist? Muss ich Sessions und Token in meine Anwendung einbetten, die einfach zurückgehen und Hash und Klartext wiederherstellen? Wenn ja, warum sollte ich das tun und welche potenziellen Bedrohungen gibt es?
Vielen Dank!
CSRF-Schutz ist wirklich eine Möglichkeit, sicherzustellen, dass jede Anfrage von Ihrem Formular kommt (also niemand kann von irgendwo anders zu Ihrem Back-End posten). Ohne CSRF könnte jeder Ihr Backend mit seinem eigenen Frontend nutzen. Wenn Sie sich also darum kümmern, fügen Sie CSRF hinzu. Wenn es Ihnen egal ist, ob jemand von Ihrer eigenen Site/Ihrem eigenen Skript an Ihr Backend schreibt, dann brauchen Sie CSRF nicht. –
@MagnusEriksson Anti-CSRF schützt nicht vor MitM/Proxies. – user2864740
@ user2864740 Natürlich nicht. Es gibt nicht nur einen Schutz, der dich vor allem schützt. Aber in einer Anwendung wie dieser denke ich, dass Mann in der Mitte Angriffe wirklich keine große Bedrohung sind. –