如何测试我的 wasp.net MVC 3 网站是否受到 CSRF 攻击

Question

我在接受用户输入的所有视图中使用防伪造令牌 html 帮助程序，并在相关操作方法上使用 [ValidateAntiForgeryToken]，以防止任何可能的 CSRF 攻击。 但我面临的问题是如何测试这些代码行是否运行良好并且它们将防止任何可能的攻击。 BR

Answer 1

您可以编写一个可以在任何地方托管的静态 HTML 页面。甚至不需要网络服务器，您可以使用 file:///c:/foo.htm 例如。在此 HTML 页面中创建一个简单的

，它将包含与您想要针对 CSRF 进行测试的某些 ASP.NET MVC 视图相同的输入元素（相同的名称）。表单的 action 将指向与 ASP.NET MVC 视图相同的操作。然后提交表格。如果抛出 AntiForgeryToken 异常，那么您是安全的。另一方面，如果执行了控制器操作，则您很容易受到 CSRF 攻击。

要了解有关 CSRF 的更多信息，请参阅以下文章。 Jeff Atwood 还 博客它。

并且不要仅仅期望您运行一些神奇的工具，它会显示绿灯或红灯。如果存在这样的工具，黑客就不会存在，因为所有网站都会受到保护，他们不会有任何东西可以黑客攻击。

确保您的网站安全的最佳方法是咨询安全专家，他们将进行广泛的审核和代码审查。