Anticsrf Un module de faîture de la demande de demande de site interrompue (CSRF) pour ASP.NET
Télécharger maintenant

Anticsrf Classement & Résumé

Anticsrf Mots clés

protéger Asp.net Module ASP.NET informations intersite Module CSRF Demande de sites croisés Falsifier Attribut de classe CSRF Compiler ASP.NET SITE demande intersite demande du site requête intersite Demande croisée cross-site scripting

Anticsrf La description

AnticsRF a été conçu pour être un module de falsification de la Fordery (CSRF) pour ASP.NET. AnticsRF facilite la surveillance des développeurs ASP.NET de se protéger contre la demande de la demande croisée. Vous n'avez plus besoin d'ajouter et de vérifier manuellement des jetons de protection pour vous protéger contre les attaques du CSRF. La voie normale recommandée d'ajouter un jeton CSRF à une application ASP.NET consiste à utiliser ViewState en combinaison avec un ViewStaTAserkey. Cela nécessite une viewstate à être activé et une application d'avoir un moyen d'identifier un utilisateur de manière unique, généralement via une sessionId, qui nécessite à son tour, l'état de la session doit être activé. AnticsRF n'a pas ces exigences; Au lieu de cela, si nécessaire aux cookies d'être activé sur le navigateur de l'utilisateur et utilise un cookie temporaire, effacé lorsque le navigateur est fermé, identifier un utilisateur et un champ de formulaire caché pour transporter le jeton CSRF. L'approche ViewStaTateSerkey protège contre les attaques d'un clic. L'attaque en un clic est parfois incorrectement appelée nom de Microsoft pour la demande de demande de cross-sites. Cependant, ce n'est pas tout à fait correct. Les attaques en un clic se rapportent à un sous-ensemble d'attaques CSRF - une qui utilise une visualisation malveillante pour effectuer la demande. Étant donné que les formulaires Web ont été développés avec ASP.NET Utilisation ViewState pour les post-dos, un attaquant peut effectuer le post-arrière, ils souhaitent que l'utilisateur effectue sans le savoir et enregistrer la viewstate. En raison de la manière dont ASP.NET ignore les verbes HTTP lors de l'utilisation de demandes.params par rapport à la demande.Form, ainsi que dans les contrôles Web, cette demande peut souvent être effectuée via GET.

Anticsrf Logiciels associés