 |
 |
 |
 |
 |
|
Antwort
|
|
|
|
Registriert seit: 13. Feb 2004 1.113 Beiträge Delphi XE2 Professional |
#1
Re: [Web] CSRF Attacken
31. Okt 2008, 08:03
@Grumpy
Läuft gerade aus dem Drucker. Danke für den Hinweis. 
Zitat von alcaeus:
wenn du ein Session-basierendes Login-System hast kannst du auch einfach verlangen, dass fuer bestimmte Aktionen (z.B. Logout) die Session-ID nicht nur im Cookie sondern auch in der URL vorhanden ist (dass sie uebereinstimmen muessen erklaert sich wohl hoffentlich von selbst). So kann der Request nur mit Hilfe von JavaScript in deinem Code gestartet werden (bspw. ueber XSS) und dann hast du eh schon ganz andere Probleme
 Ich denk ich muss da dochmal ein paar Demoattacken machen. @IX Artikel Steh ich jetzt aufm Schlauch?! Die gute Dame empfiehlt den Token. Aber ich kann doch in der manipulierten Seite ein GET auf das Formular machen und schon hab ich nen eigenen Token. Den schick ich zurück und die Sicherheitsmaßnahme ist für die Tonne. |
Zitat
|
ForumregelnEs ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus. Trackbacks are an
Pingbacks are an
Refbacks are aus
|
|
Hybrid-Darstellung
