我正在使用w3af审核我的网站。
它说它在我的网站上发现了几个问题,但我怀疑情况确实如此。
其中一个问题是:
网址:http://localhost/en/login容易受到跨网站请求伪造的攻击。它允许攻击者在将数据发送到服务器时将方法从POST交换到GET。
我很确定它不容易受到csrf攻击,因为我在我的表单中使用了crsf保护(带有令牌的字段被检查)。
所以我想知道这条消息的内容:
它允许攻击者在将数据发送到服务器时将方法从POST交换到GET。
我不在乎攻击者是否能够从POST切换到GET或者我是否?
如果我能这样做,请解释我为什么这样做?如何利用它?
答案 0 :(得分:3)
从没有w3af经验的角度来看,我认为它有一些非常基本的规则写入其中,它会检查这些规则并报告它们。
在这种情况下,它可能会检查您是否使用了$_REQUEST而不是$_POST或$_GET,然后在找到错误时报告错误,无论您做出何种努力确保这一点。
每个人都会以不同的方式编写代码,因此让软件了解代码的上下文将是一项了不起的成就,并且可能超出了这个代码的智能范围。这并不意味着对软件的攻击,但说实话,如果我想出一些可以理解别人代码的上下文和意图的程序,我不会在sourceforge上放弃它:p
重要吗?也许取决于你获得网站的安全程度(见上面的Marc B(+1)评论)。
- 编辑 -
使用$_REQUEST而非指定$_POST或$_GET,您可以让自己对容易关闭的攻击区域保持开放态度。不仅如此,$_REQUEST还包括$_COOKIE。这已被覆盖here而不是我复制其他人的答案。