Form_key được sử dụng để làm gì?


7

Tôi thực sự không hiểu form_keytính năng này. Tôi đã tìm thấy một số trang web hỏi và xử lý các vấn đề về form_keynhưng không có giải thích lý do cho sự tồn tại của nó.

Mọi người chỉ làm việc xung quanh "tính năng bảo mật" này, vd

Bất cứ ai có thể giải thích những gì form_keyđược sử dụng cho?


EDIT: ok, tôi nhận được Vector CSRF để thay đổi dữ liệu người dùng hoặc bất cứ thứ gì ngoài giỏ hàng và thậm chí là thanh toán.
Nhưng những gì có thể tấn công vào giỏ hàng là gì?!


1
Đối với câu hỏi tiếp theo của bạn, xem: magento.stackexchange.com/questions/70949/NH
Fabian Schmengler

nó chỉ đơn giản nói rằng không có cuộc tấn công khả thi nào đối với hành động cụ thể đó và nó đúng hơn là ý thức hệ hơn là suy nghĩ tốt. Nhưng thông tin này giúp tôi mặc dù.
Mùa hè-Bầu trời

Câu trả lời:


10

Nó ngăn chặn giả mạo yêu cầu trang web chéo

Giả mạo yêu cầu đa trang web (CSRF) là một cuộc tấn công buộc người dùng cuối phải thực hiện các hành động không mong muốn trên một ứng dụng web mà anh ấy / cô ấy hiện đang được xác thực. Các cuộc tấn công CSRF đặc biệt nhắm vào các yêu cầu thay đổi trạng thái, không đánh cắp dữ liệu, vì kẻ tấn công không có cách nào để xem phản hồi đối với yêu cầu giả mạo. Với một chút trợ giúp của kỹ thuật xã hội (như gửi liên kết qua email / trò chuyện), kẻ tấn công có thể lừa người dùng ứng dụng web thực hiện các hành động do kẻ tấn công chọn . Nếu nạn nhân là người dùng bình thường, một cuộc tấn công CSRF thành công có thể buộc người dùng thực hiện các yêu cầu thay đổi trạng thái như chuyển tiền, thay đổi địa chỉ email của họ, v.v. Nếu nạn nhân là tài khoản quản trị, CSRF có thể thỏa hiệp toàn bộ ứng dụng web.

(đánh dấu thêm)

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.