Quelle est l'utilisation du sel jeton anti-contrefaçon?
Dans ASP.NET MVC 1.0, il est une nouvelle fonctionnalité pour la manipulation de cross site request forgery problème de sécurité:
<%= Html.AntiForgeryToken() %>
[ValidateAntiForgeryToken]
public ViewResult SubmitUpdate()
{
//... etc
}
J'ai trouvé le jeton généré en html cessent de changer à chaque fois un nouveau formulaire est rendu.
Je veux savoir comment ces jeton est généré? Et quand utiliser un logiciel de scan de ce site, il signale un autre problème de sécurité: Session fixe. Pourquoi? Depuis le jeton de garder changé, comment ce problème peut-il venir ?
Et il y a une autre fonction, qui est le "sel" de la antiForgeryToken
mais je sais vraiment ce que ce utilisé pour, même à travers nous n'utilisons pas de "sel" pour générer le jeton, le jeton qui change tout le temps, alors pourquoi avoir une telle fonction?
source d'informationauteur MemoryLeak
Vous devez vous connecter pour publier un commentaire.
Beaucoup d'infos sur le AntiForgeryToken ici: http://blog.codeville.net/2008/09/01/prevent-cross-site-request-forgery-csrf-using-aspnet-mvcs-antiforgerytoken-helper/
C'est pour éviter un Cross-Site Request Forgery (CSRF). C'est assez standard comportement de cliquer sur "Enregistrer" remplir un formulaire et d'effectuer une action sur le serveur, c'est à dire enregistrer un utilisateur de détails. Comment savez-vous que l'utilisateur de soumettre le formulaire à l'utilisateur ce qu'ils prétendent être? Dans la plupart des cas, il vous suffit d'utiliser certains cookies ou windows auth.
Que si un attaquant leurres vers un site qui présente exactement la même forme dans un peu caché IFRAME? Vos cookies sont soumis intacte et le serveur ne vois pas la demande comme tout différent d'une légitime demande. (Comme gmail a découvert: http://www.gnucitizen.org/blog/google-gmail-e-mail-hijack-technique/)
L'anti-faux jeton empêche cette forme d'attaque par la création d'un cookie supplémentaire jeton à chaque fois qu'une page est généré. Le jeton est à la fois dans la forme et le cookie, si la forme et le cookie ne correspondent pas, nous avons une attaque CSRF (que l'attaquant ne serait pas en mesure de lire les anti-faux jeton à l'aide de l'attaque décrite ci-dessus).
Et ce qui ne le sel faire, à partir de l'article ci-dessus:
Mise à jour: Comment est le jeton généré? Télécharger le sourceet ont un look à la AntiForgeryDataSerializer, AntiForgeryData classes.
Vous ai poser quelques problèmes sans rapport:
Ce est utilisé (sans doute) pour s'assurer que chaque demande est valide. Considérez donc que quelqu'un essaie de présenter un lien vers la page
?x=1
si le jeton n'est pas aussi réussi, la demande sera rejetée. De plus, il (peut) en évitant de dupliquer l'affichage d'un même article. Si vous cliquez sur "post" à deux reprises, le jeton sera susceptible de changer (chaque requête), et cette affaire va être détectés par quelque chose comme:Je pense que le terme (à l'attaque, il protège) est appelée "CSRF" (Cross-Site Request Forgery), ces jours-ci.