Являются ли сайты интрасети уязвимыми для CSRF?

Question

Я разработал и развернул приложение MVC5 .NET, которое работает внутри интрасети и использует LDAP для аутентификации пользователей. Поскольку MVC 5 дает вам @ Html.Antiforgery() по умолчанию, я использовал их в каждом из. Однако в производстве, где приложение работает в нескольких узлах, у меня возникают проблемы с токенами, когда заканчиваются сеансы и т. Д.

Так что мне было интересно, следует ли мне даже использовать их в первую очередь или я мог бы просто удалить их поскольку сайт работает в интрасети.

Answer 1

Да, они есть. Например, злоумышленник может отправить одного из ваших сотрудников и электронную почту, содержащую чистый GIF, с URL-адресом, который указывает на одну из ваших страниц в интрасети, или сотрудник может посетить веб-страницу, содержащую javascript, который отправляется на одну из ваших страниц в интрасети.

Устранение последствий явной атаки GIF заключается в том, чтобы спроектировать ваш сайт интрасети, чтобы запросы GET никогда не обновляли состояние или не выполняли чувствительные операции.

Смягчение атаки сценария/сообщения заключается в том, чтобы включить токен CSRF во всех ваших формах.