我们正面临一些记录重复问题,该问题已被声称为CSRF攻击。
方案是管理员用户登录到应用程序并添加记录,数据将保存在数据库中。捕获并重放相应的POST请求,最终将重复的记录添加到数据库中。此漏洞允许攻击者在重放时将“n”个重复记录添加到数据库中。
这可以称为CSRF攻击吗?
答案 0 :(得分:2)
不,不是真的。
如果正在捕获POST,您正在查看重播攻击,其中合法请求重播。
您可以通过向表单添加随机数(随机值)来阻止重播攻击,并要求在POST完成时存在随机值,然后使随机数无效。这与用于阻止CSRF攻击的技术相同。
但是,如果攻击者可以读取您的POST数据,则可能会遇到更大的问题。例如,他们将能够捕获管理员身份验证步骤,该步骤可以显示密码或其他敏感信息。
您也可能没有受到攻击,并且重复是由使用“后退”按钮或页面重新加载引起的。无论如何,使用某种防御来防止重复交易是最安全的。