2009年8月28日

Cross-Site Request Forgery (CSRF) - 跨站冒名請求

CSRF介紹


CSRF也是XXS的一種,名為Cross-Site Request Forgery (CSRF),中文翻成--> 跨站冒名請求

有一份文件整理的還不錯,該文件的最後有提到該威脅的處理措施
淺談CSRF - 經濟部標準檢驗局

目前微軟的機制是使用ViewStateUserKey API 進行雜湊來防止相關攻擊
http://msdn.microsoft.com/zh-tw/library/ms972969.aspx


Struts 可以透過再action與 page加入token來得到此目的.可用於重要的Process進行
安全性的加強,Struts 相關參考解決方案細節如下
http://mawuit.blogspot.com/2008/08/strus-2.html
http://icemoon.javaeye.com/blog/96897
http://www.roseindia.net/answers/viewanswers/2411.html
http://74.125.153.132/search?q=cache:Fz1SNVe48WsJ:www.javaworld.com.tw/jute/

限制Http REFERER header ,http://coldjava.hypermart.net/servlets/forcerefererflt.htm

進階的資料

[技術分享] Cross-site Request Forgery (Part 1)
http://cyrilwang.blogspot.com/2010/07/cross-site-request-forgery-part-1.html

[技術分享] Cross-site Request Forgery (Part 2)
http://cyrilwang.blogspot.com/2010/07/cross-site-request-forgery-part-ii.html

其中文件後面的OWASP的連結也都很讚