簡體 English 中英

CRSF和SSL證書

[英]CRSF and SSL certificate

原文 2017-05-22 20:19:20 5 1 asp.net-mvc/ security/ ssl/ model-view-controller

考慮一個具有HTTPS協議的網站。

使用HTTPS時，協議是否使用證書來標識客戶端？

如果某些黑客在制作CSRF之后已經加密了cookie，那么他是否還需要獲得SSLl認證才能進一步使用？

如果黑客沒有SSL認證，如何使用網站中的客戶端數據？

1 個解決方案

要發起CSRF攻擊，黑客不需要知道證書或cookie。 CSRF攻擊之所以起作用，是因為如果任何網頁包含<img src="https://example.com/">標記，瀏覽器就會自動將cookie發送到服務器example.com 。

例如， example.com允許用戶在其論壇上進行投票。 假設用戶單擊“ upvote”按鈕，它將請求發送到https://example.com/vote.php?id=12345 。 如果網站不使用任何反CSRF技術，則攻擊者可以在其網站https://evil.com上包含<img src="https://example.com/vote.php?id=12345>"標簽。。 然后，如果以后登錄example.com的用戶在同一瀏覽器中訪問https://evil.com ，則他將對該帖子投贊成票，而無需任何通知。

我猜您對中間人（MITM）攻擊和CSRF攻擊感到困惑，它們是完全不同的。 當你說

如果他沒有得到它，就會得到一個加密的cookie，那么在沒有此認證的情況下，他又怎么能進一步使用該cookie？

您描述了一次MITM攻擊。 MITM攻擊者攔截用戶和服務器之間的流量。 他們嘗試記錄以明文形式發送的cookie，並使用cookie進行身份驗證。 HTTPS已經可以防止此類攻擊。 攻擊者無法解密HTTPS流量。

如何在我的本地機器上安裝 SSL 證書？

[英]How to install SSL certificate on my local machine?

如何靜默請求特定的SSL客戶端證書

[英]How do I silently request a specific SSL client certificate

使用SSL和客戶端證書身份驗證保護ASP.NET MVC應用程序

[英]Secure ASP.NET MVC application with SSL and client certificate authentication

盡管證書很好，但不信任HTTPS SSL連接

[英]HTTPS SSL Connection not trusted, despite certificate being fine

ASP.NET MVC中的Google和Facebook OAuth2提供程序是否需要SSL證書

[英]Is SSL certificate needed for Google and Facebook OAuth2 provider in ASP.NET MVC

為我的Asp.Net MVC項目設置SSL時出現證書錯誤

[英]Certificate error while setting SSL enabled for my Asp.Net MVC project

Microsoft.AspNet.Hosting：如何添加自簽名SSL證書

[英]Microsoft.AspNet.Hosting: How to add a self-signed SSL certificate

ASP.Net Core docker 從 serviceB 容器訪問 serviceA 容器拋出 ssl 證書錯誤

[英]ASP.Net Core docker access serviceA container from serviceB container throws ssl certificate error

將自簽名 ssl 證書添加到 gcp 容器化 .net core web vm 實例

[英]Add self-signed ssl certificate to gcp containerized .net core web vm instance

如何設置WCF服務和MVC站點以共享相同的SSL證書？

[英]How do I set up a WCF service and MVC site to share the same SSL certificate?

暫無

暫無

聲明:本站的技術帖子網頁，遵循CC BY-SA 4.0協議，如果您需要轉載，請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 如何在我的本地機器上安裝 SSL 證書？如何靜默請求特定的SSL客戶端證書使用SSL和客戶端證書身份驗證保護ASP.NET MVC應用程序盡管證書很好，但不信任HTTPS SSL連接 ASP.NET MVC中的Google和Facebook OAuth2提供程序是否需要SSL證書為我的Asp.Net MVC項目設置SSL時出現證書錯誤 Microsoft.AspNet.Hosting：如何添加自簽名SSL證書 ASP.Net Core docker 從 serviceB 容器訪問 serviceA 容器拋出 ssl 證書錯誤將自簽名 ssl 證書添加到 gcp 容器化 .net core web vm 實例如何設置WCF服務和MVC站點以共享相同的SSL證書？

相關標簽

粵ICP備18138465號 © 2020-2024 STACKOOM.COM