ASP.NET MVC架構下如何防範表單偽造(CSRF)

首先,何謂CSRF?CSRF是Cross-Site Request Forgery的簡稱,簡單來說就是惡意駭客為竊取資訊用script創造成的假表單。詳情請參考OWASP官網解說:Cross-Site_Request_Forgery

那麼在ASP.NET MVC底下,其實要防範這個問題相當簡單,只要在Razor Ajax.BeginForm或是Html.BeginForm,甚至是一般傳統Html

內加上@Html.AntiForgeryToken,就會在表單Submit的時候產生2個相同值的Token。 繼續閱讀 “ASP.NET MVC架構下如何防範表單偽造(CSRF)”

資安弱點與解決範例

在叡揚內部的 Jenkins 上有個 Secure Codes 頁籤,其中有許多兩兩成對的專案,每對表達一個資安弱點的具體案例與解決。由於我們以 Checkmarx 掃描工具為主,所以每對專案名稱中都會含 Checkmarx 報告中的弱點全名,例如「Stored XSS」這個弱點,就會有一個 Stored XSS 與一個 Stored XSS Resolved 專案。

繼續閱讀 “資安弱點與解決範例”