АСП.НЕТ МВЦ - ЦСРФ напад

Постоји једна врста напада којој смо склони и коју много пута занемаримо, ово је Кривотворење захтева за више локација или ЦСРФ, ово је одговорно за превару наше апликације да прими податке који не потичу са домена на коме је хостована.
Ова врста напада је прилично штетна јер изазива превареног корисника да употреби своју аутентификацију да унесе податке у нашу базу података, замислите да се нападом ове врсте у наш одјељак вијести успије унијети административни корисник или можда лажне вијести .
Као што смо објаснили, овај напад вара нашу апликацију да прима податке који не потичу од ње саме, јер за то користи начин на који протоколи раде попут ХТТП -а и његових различитих метода, стога нападач може креирајте образац и покажите на нашег контролера.
Да илуструјемо овај напад, погледајмо следећи контролер који је осетљив на ову врсту напада:

Овде можемо видети како податке добијамо директно из нашег обрасца и то није лоше, једини проблем је што не кажемо нашој апликацији да мора да потврди своје порекло, с тим што нападач може генерисати скрипту попут ове:

ЕНЛАРГЕ

Овде је јасно шта се дешава, приликом учитавања ове странице шаље се образац који указује на одређени запис у бази података, овај образац показује на важећи контролер, па ако је аутентификовани корисник преусмерен на ову страницу, вероватно смо у бит оф а бинд.
Упркос томе колико је то фаталистички, овај напад је могуће избјећи, јер за то морамо само извршити неке провјере које гарантирају да примљени подаци долазе из наше апликације, за то можемо користити неке од ових техника:
Референца доменаОво се састоји од провере из ког домена захтев потиче, с тим гарантујемо да је само са домена на којем се налази наша апликација, једини проблем или недостатак је то што ћемо, ако мигрирамо нашу апликацију домена, можда морати да обновимо проверу у случају да нисмо.начинили динамичним. Такође је могуће направити лажну референцу тако што ћете искористити рањивости апликација као што су Адобе фласх.
Генерисани токенОвом опцијом радимо оно што унутар нашег обрасца а токен што је јединствено по кориснику, па наша апликација приликом примања образаца потврђује да је токен исти, на овај начин омогућава да се подаци прихвате или не. Ово је најчешће кориштена опција јер се врло лако имплементира и има мале или никакве недостатке.
У случају генерисаног токена АСП.НЕТ МВЦ садржи неке методе које нам могу помоћи, а главна је @ Хтмл.АнтиФоргериТокен () који генерише тајни кључ помоћу којег наша апликација може да потврди обрасце.
Тада видимо да има више подручја него што мислимо и да морамо водити рачуна у својим апликацијама, па се морамо информисати и бити свесни како се напади дешавају како бисмо смислили начине да их избегнемо.