这个“更改密码”ASP.NET 表单同时启用了事件验证和视图状态。没有特定的反 csrf 令牌。据我了解,为了成功执行 CSRF 攻击,攻击者必须能够同时获取视图状态值和事件验证值。如果是这样,该表单是否可以免受 CSRF 攻击?
ASP.NET 中的 CSRF
信息安全
csrf
网
视图状态
2021-09-09 13:32:52
1个回答
更改密码表单通常是 CSRF 攻击的不良目标,因为如果他们遵循良好做法,他们将要求用户现有密码(不这样做本身就是一个安全漏洞),有人利用 CSRF 漏洞. 不太可能知道(如果他们知道了,在大多数情况下,他们只会使用它而不打扰 CSRF)
如果攻击者在应用程序上有一个帐户并且可以获得有效值来提交,则 Viewstate 和事件验证本身不会提供对 CSRF 的完整保护。ViewStateUserKey 的用户可以防止 CSRF(请参阅此问题)以获取更多详细信息。
其它你可能感兴趣的问题