CGI の一般的なクロスサイトリクエスト偽造の検出(潜在的)
medium Nessus プラグイン ID 56818
Language:
概要
リモート Web サーバーが、クロスサイトリクエスト偽造攻撃に対して脆弱である可能性があります。説明
Nessus はリモート Web サーバー上の HTML フォームを見つけました。一部の CGI スクリプトは、一般的なアンチクロスサイトリクエスト偽造(XSRF)保護であるランダムトークンによって保護されないようです。Web アプリケーションは XSRF 攻撃に対して脆弱である可能性があります。注意:- Nessus はこの欠陥を悪用しませんでした。
- Nessus は、機密性の高いアクションを特定できません。例えばオンラインバンクでは、口座の照会は送金よりも機密性が低いと言えます。
CGI スクリプトのソースを監査し、実際に影響を受けるかどうかを確認する必要があります。