Google Re-Captcha 2可以阻止CSRF攻击吗?
跨站点请求伪造攻击会在受害者的会话中进行,以便向受信任的站点提交恶意请求。 Cheat Sheet here将CAPTCHA描述为防止CSRF攻击的好方法。
众所周知,Google Re-Captcha可有效防止僵尸网络垃圾邮件。在具有相同IP地址的位置点击几次后,需要人来解决图片拼图。由于前几次尝试都是免费的,黑客是否可以通过在最初的几次尝试中点击Re-Captcha数字来绕过它?
2 个答案:
答案 0 :(得分:4)
正如OWASP的备忘单所述,CAPTCHA可以作为击败CSRF的一种方式。
然而,你让我思考。也许如果攻击者对Google Recaptcha2小部件进行了Clickjacking攻击,并对使用Recaptcha2进行CSRF防御的页面上的CSRF攻击进行了跟进,那么这可能对攻击者有利。< / p>
更新
考虑到这一点,Recaptcha2的工作方式是返回由私钥签名的值,该私钥可以在服务器端进行检查。这需要点击当前表单上显示的CAPTCHA,即使没有任何问题需要解决。因此,Recapcha2应该抵御CSRF。但是,请确保您的托管页面也受到Clickjacking的保护。
答案 1 :(得分:1)
Captcha代表暴力攻击,但是,它也可以阻止CSRF攻击。由于攻击无法知道什么是正确的验证码值,因此无法使用有效的验证码值填充表单。
由于可用性非常重要,因此您无法要求用户在每个请求中解决验证码。因此,缺省情况下,框架使用csrf_token机制。
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?