Risiko: Sitzungen und Cookies können gestohlen oder manipuliert werden und dazu verwendet werden, sich als legitimer Benutzer auszugeben, sodass ein Hacker Benutzerdatensätze anzeigen oder ändern und Transaktionen als dieser Benutzer durchführen kann. Ursache: Die Anwendung verwendet eine unzureichende Authentifizierungsmethode. Fester Wert: Authentifizierung „Referer“-Header-Wert und Verwendung einer einmaligen Nonce-Inferenz für jedes übermittelte Formular: Die Testergebnisse scheinen auf eine Sicherheitslücke hinzuweisen, da die Testantwort mit der ursprünglichen Antwort identisch ist, was wiederum darauf hinweist, dass es sich um eine standortübergreifende Anforderungsfälschung handelt Der Versuch war trotz des imaginären „Referer“-Headers erfolgreich. Liebe Freunde

AppScan scannt Systemschwachstellen – standortübergreifende Anforderungsfälschung-Fragen und Antworten zum chinesischen PHP-Netzwerk

Gemeinschaft

Lernen

Tools-Bibliothek

KI-Tools

Freizeit

Deutsch

AppScan scannt Systemschwachstellen – standortübergreifende Anforderungsfälschung

老文仔 2018-11-15 17:41:11

3007

Risiko: Sitzungen und Cookies können gestohlen oder manipuliert werden und dazu verwendet werden, sich als legitimer Benutzer auszugeben, wodurch ein Hacker Benutzerdatensätze anzeigen oder ändern und Transaktionen als dieser Benutzer durchführen kann. Ursache: Die von der Anwendung verwendete Authentifizierungsmethode tut dies nicht anwendbar Ausreichend

Fester Wert: Validieren Sie den Wert des „Referer“-Headers und verwenden Sie eine einmalige Nonce für jedes übermittelte Formular

Schlussfolgerung: Die Testergebnisse scheinen auf eine Schwachstelle hinzuweisen, da die Testantwort genau dieselbe ist als ursprüngliche Antwort, was darauf hinweist, dass der Cross-Site-Request-Forgery-Versuch

trotz eines fiktiven „Referer“-Headers erfolgreich war.

Meister, wie man solche Probleme löst