我们正面临一些被称为CSRF攻击的记录重复问题。
该场景是一个admin用户登录到应用程序并添加一条记录,数据被保存在数据库中。相应的POST请求被捕获并重播,最终在数据库中添加了重复的记录。此漏洞允许攻击者在重播时向数据库中添加"n"个重复记录。
这可以称为CSRF攻击吗?
没有。
如果POST被捕获,您将看到重放攻击,其中合法请求被重新播放。
您可以通过向表单添加nonce(随机值)来挫败重放攻击,并要求在POST完成时出现随机值,然后使nonce无效。这与阻止CSRF攻击的技术相同。
但是,如果攻击者可以读取您的POST数据,您可能会遇到更大的问题。例如,它们将能够捕获管理员身份验证步骤,这可能会泄露密码或其他敏感信息。
也有可能您没有受到攻击,并且重复是由使用后退按钮或页面重新加载引起的。在任何情况下,使用某种防御措施来防止重复交易是最安全的。