Security 为什么这个问题会导致CSRF问题?
我是一名web开发人员,对安全性有一定的了解,我正在与一名专业安全专家讨论某个案例是否容易受到CSRF攻击。让我解释一下: 我有一个典型的更改密码表单,在这里我会询问旧密码,然后询问新密码两次。他说它可以被攻击,我说它不能。为什么?在这种情况下,攻击者可能会欺骗用户使用新密码提交表单(典型的CSRF攻击),但用户仍需要知道旧密码,因此攻击永远不会发生 我猜他只是在看页面上的那本书,上面写着“所有密码表单都必须有CSRF保护”。在和他们争论了两周后,我会放一个CSRF代币(毕竟,我得到了报酬),但我仍然认为没有必要(当然,比应用程序上的任何其他输入表单都少)Security 为什么这个问题会导致CSRF问题?,security,Security,我是一名web开发人员,对安全性有一定的了解,我正在与一名专业安全专家讨论某个案例是否容易受到CSRF攻击。让我解释一下: 我有一个典型的更改密码表单,在这里我会询问旧密码,然后询问新密码两次。他说它可以被攻击,我说它不能。为什么?在这种情况下,攻击者可能会欺骗用户使用新密码提交表单(典型的CSRF攻击),但用户仍需要知道旧密码,因此攻击永远不会发生 我猜他只是在看页面上的那本书,上面写着“所有密码表单都必须有CSRF保护”。在和他们争论了两周后,我会放一个CSRF代币(毕竟,我得到了报酬),但
你觉得怎么样?。我想知道我是否错了以及为什么谢谢大家关心安全问题。我相信在这里你可以找到一些可能出错的例子: 通常,对于用户身份验证的关键步骤,您应该应用零信任原则,并为客户添加尽可能多的保护
当然,一切都取决于您如何设计应用程序。感谢您对安全性的关注。我相信在这里你可以找到一些可能出错的例子: 通常,对于用户身份验证的关键步骤,您应该应用零信任原则,并为客户添加尽可能多的保护
当然,一切都取决于您如何设计应用程序。您的推理假设您的用户具有良好的密码习惯。事实上,大多数用户并不这样做。他们将在多个地方使用相同的密码,包括您的网站 这意味着CSRF攻击者可以从无关的数据泄露中知道自己的密码,或者通过使用服务获取密码(即免费图像共享服务以明文形式记录密码,用于恶意目的)
话虽如此,你问是好的,而不是假设你是正确的。安全性很重要,推理和询问都是帮助您学习和开发安全应用程序的好方法。您的推理假设您的用户具有良好的密码习惯。事实上,大多数用户并不这样做。他们将在多个地方使用相同的密码,包括您的网站 这意味着CSRF攻击者可以从无关的数据泄露中知道自己的密码,或者通过使用服务获取密码(即免费图像共享服务以明文形式记录密码,用于恶意目的)
话虽如此,你问是好的,而不是假设你是正确的。安全性很重要,推理和提问都是帮助您学习和开发安全应用程序的好方法。这是我没有想到的一个好观点,在企业环境中可能更为重要,因为即使有些人知道其他人的密码。非常感谢。这是一个我没有想到的好观点,在企业环境中可能更是如此,甚至有些人知道其他人的密码。非常感谢。我不确定你给我的链接是否完全适用于我的情况。我的意思是,看起来像一个典型的CSRF攻击,我担心我使用旧密码的情况(攻击者以前应该知道)。无论如何,谢谢你的链接,因为我认为我们还应该检查来源。我不确定你给我的链接是否完全适用于我的情况。我的意思是,看起来像一个典型的CSRF攻击,我担心我使用旧密码的情况(攻击者以前应该知道)。无论如何,谢谢你的链接,因为我认为我们也应该检查来源。