WSO2 IS 5.2.0 Защита от CSRF с помощью CSRFGuard и/или фильтра/клапана CSRF?

В документации WSO2 Identity Server 5.2.0 описывается использование CSRF Filter или CSRF Valve как способа смягчения атак CSRF — см.: Документация WSO2 IS 5.2.0. Конфигурация для этого была доступна в carbon.xml IS 5.1.0, но отсутствует в IS 5.2.0.

Вместо этого IS 5.2.0 использует OWASP CSRF Guard, как описано в Документация по углероду WSO2.

Мой вопрос: Должен ли я активировать оба механизма защиты или достаточно CSRF Guard?

Дополнительный вопрос: CRRLFPreventionConfig исчез и в 5.2.0. Это все еще необходимо и должно быть добавлено в файл carbon.xml?


csrf wso2 wso2is wso2carbon crlf-vulnerability
person Hos    schedule 02.11.2016    source источник

Ответы (1)


arrow_upward
2
arrow_downward

В WSO2 IS 5.2.0 (точнее, в продуктах на основе WSO2 Carbon Kernel 4.4.6+) используется унифицированный механизм предотвращения CSRF на основе OWASP CSRFGuard.

Таким образом, в документации по IS 5.2.0 не обязательно упоминать о предотвращении CSRF, поскольку защита от CSRF включена по умолчанию. Пожалуйста, обратитесь к заявке "DOCUMENTATION-4043" из системы отслеживания проблем, созданной, чтобы исправить это повсюду. последние документы на продукцию.

В заключение, OWASP CSRFGuard достаточно для WSO2 Identity Server 5.2.0, и вам больше не нужно включать фильтр или клапан.

Предотвращение CRLF по умолчанию доступно на уровне Tomcat. Поэтому эта конфигурация была удалена из конфигурации продукта. Несмотря на то, что он был удален из документации Carbon Kernel, кажется, что соответствующие страницы все еще доступны в документации по некоторым продуктам. Пожалуйста, обратитесь к заявке "DOCUMENTATION-4044" из системы отслеживания проблем, созданной, чтобы исправить это во всем. последние документы на продукцию.

person ayomawdb    schedule 03.11.2016