超级会员免费看
本文深入探讨了CSRF(跨站请求伪造)的原理、测试方法和风险,介绍了如何通过抓包、工具检测以及手动构建POC来发现CSRF漏洞。同时,文章列举了Referer和Token验证的绕过手段,并提供了加固建议,如设置Cookie的SameSite属性、验证请求来源站点以及使用CSRF Token来防止此类攻击。
0x01 等保测评项
GBT 22239-2019《信息安全技术 网络安全等级保护基本要求》中,8.1.4.4安全计算环境—入侵防范项中要求包括:
a)应遵循最小安装的原则,仅安装需要的组件和应用程序;
b)应关闭不需要的系统服务、默认共享和高危端口;
c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;
d)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求;
e)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞;
f)应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。
CSRF测试对应访问控制项中要求e),所以安全控制点为入侵防范e。
GBT 28448-2019《信息安全技术 网络安全等级保护测评要求》中,测评单元(L3-CES1-21)
该测评单元包括以下要求:
a)测评指标:应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。;
b)测评对象:终端和
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
