ASP.NETのCSRF
イベントの検証とビューステートの両方が有効になっているこの「パスワードの変更」ASP.NETフォームがあります。特定のアンチcsrfトークンはありません。私が理解しているように、CSRF攻撃を成功させるためには、攻撃者がビューステート値とイベント検証値の両方を取得できる必要があります。その場合、フォームはCSRF攻撃から安全ですか?
パスワード変更フォームは、CSRF攻撃の一般的に悪いターゲットです。なぜなら、ユーザーが適切な慣行に従っている場合、ユーザーが既存のパスワードを必要とするためです(そうしないと、それ自体がセキュリティ上の弱点となり、CSRFの脆弱性を悪用します)。 。知っている可能性は低いです(そして、もしそうなら、ほとんどの場合、彼らはそれを使用するだけであり、CSRFを気にしません)
攻撃者がアプリにアカウントを持っており、送信する有効な値を取得できる場合、ビューステートとイベントの検証自体は、CSRFからの完全な保護を提供しません。詳細については、ViewStateUserKeyのユーザーがCSRFから保護できます( この質問 を参照)。