7
ich diesen Artikel zu lesen: http://jeremiahgrossman.blogspot.com/2007/01/gmail-xsrf-json-call-back-hackery.htmlIst der JSON CSRF/Theft Angriff noch möglich?
Und ich versuchte, die Technik zu verwenden, aber es scheint auf (mindestens) die meisten Browser zu scheitern ich versuchte. Im Grunde geben Sie JSON auf Ihrer Site zurück und jemand anderes macht eine <script src="domain.com/response.php?json"></script> und dann richten Sie Ihre eigenen Objekt/Array-Konstruktoren ein, um die Daten zu stehlen.
Ist dies noch mit modernen Browsern möglich? Sollte ich Token verwenden, um dies zu verhindern?
Wie genau werden Sie 'curl' oder ein Python-Programm verwenden, um einen CSRF-Angriff durchzuführen? Wo würdest du den Session-Cookie bekommen? – Pointy
@ Pointy: http://www.cgisecurity.com/csrf-faq.html. Msgstr "" "Ein Angreifer könnte Scripting in ein Word - Dokument, Flash File, Movie, RSS oder Atom Web - Feed oder ein anderes Dokumentformat einbetten, das Scripting erlaubt" –
Nun, mein Verständnis von CSRF beruht darauf, dass ein Angreifer einen aktiven Session - Cookie nutzt Browser. Die angreifende Site nutzt die Tatsache, dass HTTP-Anfragen von * jedem * Fenster an eine gesicherte Site * mit dem aktiven Session-Cookie gemacht werden, wenn ein angemeldetes Fenster geöffnet ist. Ansonsten ist es nur ein einfacher Angriff auf eine offene URL. Mit anderen Worten, URLs, die ohne einen aktiven Session-Cookie arbeiten, müssen einfach und einfach geschützt werden, und es gibt keinen "Cross-Site" -Aspekt für das Problem. – Pointy