هل من الممكن إجراء قيمة antiforgerytoken في asp.net mvc تغيير بعد كل التحقق؟
-
19-09-2019 - |
سؤال
لقد أجرينا للتو بعض اختبارات الاختراق التي أجريت في تطبيق تم بناؤه باستخدام ASP.NET MVC، وأحد التوصيات التي عادت هي أن قيمة antiforgergerytoken في النموذج يمكن إعادة تقديمها عدة مرات ولم تنتهي صلاحيتها بعد استخدام واحد.
بحسب ال توصيات owass. حول نمط رمزية المزامنة:
"بشكل عام، يحتاج المطورون إلى توليد هذا الرمز المميز مرة واحدة للجلسة الحالية."
وهو ما أعتقد أن Works ASP.NET MVC Antiforgerytoken.
في حال علينا أن نحارب المعركة، هل من الممكن أن تسبب antiforgergerytoken لتجديد قيمة جديدة بعد كل التحقق من الصحة؟
المحلول
الرمز المضاد للتزوير هو مجرد رمزية مكافحة XSRF. على وجه الخصوص، هو ليس nonce واحد الاستخدام واحد. إذا كنت بحاجة إلى Nonce غير مستخدم واحد للتطبيق الخاص بك، فلا يمكنك استخدام الرمز المميز المضاد للتزوير لهذا الغرض. لا توجد وظيفة مدمجة لهذا.
نصائح أخرى
ربما يمكنك استخدام antiforgerytoken باستخدام منشئ المعلمات الثلاثة.
يوصى دائما باستخدام الملح دائما ولكنه يحد من الرمز المميز من خلال المجال والمسار سيجعل الرمز المميز الخاص بك أكثر أمانا وفرد الصفحة الفريدة.
إذا لم يكن لديك نقاط ضعف XSS هذه المشكلة لن تكون فوضى كبيرة في موقع الويب الخاص بك :) / / هل كتبت هذا؟ بالتأكيد لم أقرأ جيدا المشكلة.
هتافات!