我正在查看一个用 .NET 编写的 Web 应用程序,我正在通过 Burp Suite 进行代理,但无法判断它是否完全免受 CSRF 攻击。我知道如果在源代码中设置了 ViewStateMac 和 ViewStateUserKey,应用程序应该得到很好的保护。但是,如果我无法访问源代码,我将如何识别它?
这个以前的 StackOverflow 问题有点问了同样的问题,但并没有完全解决我的问题。 (我没有足够的声望点来在答案的 cmets 中添加这个问题):
【问题讨论】:
没有办法推断出这个客户端。检查服务器上的源代码是唯一确定的方法。但是,您可以尝试对您自己的应用程序发起 CSRF 攻击,作为在服务器上正确检查 VSUK 的简单检查测试。
【讨论】:
尝试使用此问题中提到的答案:How to demonstrate a CSRF attack 特别是这个答案:https://stackoverflow.com/a/6812942/7231971
答案建议使用 post 方法创建一个表单,该方法将在打开页面时由客户端(使用您的站点的人)浏览器执行。例如:
<form name="csrf_form" action="http://VULNERABLE_APP/csrf.php" method="POST">
<input type="hidden" name="csrf_param" value="POST_ATTACK">
</form>
<script type="text/javascript">document.csrf_form.submit();</script>
【讨论】: