情况:
Alice 使用在线银行网站存储她的凭据 cookie。
在 cookie 过期之前,Eve 向 Alice 发送了一个恶意 URL,这随后导致 Alice 从她的银行账户中提取资金并将其发送给 Eve。
这是 Web 应用程序的常见 CSRF 示例,但在移动应用程序内部执行此操作的可行性如何?
如果 Alice 在她的手机上使用了一个存储 cookie 的银行应用程序,然后访问了 Eve 的网站,结果类似?
Alice 的移动设备上来自本地(或混合)应用程序的 cookie 是否容易受到操纵,或者这些 cookie 通常会以某种方式在设备上被沙盒化?
我会假设 iOS、Android 等设备上的 cookie 与普通浏览器的工作方式相同,但实际上是这样吗?
编辑:
这个问题原本是针对所有移动设备的通用问题。我相信,即使是在 JavaScript 中创建一个 cookie,然后使用 PhoneGap 或 Titanium 之类的东西也可能是相关的。在阅读了更多内容之后,我也很好奇使用这些其他技术之一编译 JavaScript 是否会影响 native 设备的 cookie 以及它们如何存储它们。
使用 cookie 的主要目的是维护用户的凭据,这样他们就不必每次都使用银行帐户注销并重新登录。在阅读了有关此问题的更多信息后,似乎每个特定设备都有不同的场景,实际上可以对应用程序进行 CSRF。例如, Shared Preferences 在 Android 中被沙盒化以防止其他应用程序访问这些值。
最佳答案
Will a cookie on Alice's mobile device from a native (or hybrid) application be vulnerable to manipulation, or are these cookies typically sand boxed on the device somehow?
CSRF 攻击涉及一个应用程序:浏览器。您提出的攻击涉及两个独立的应用程序:银行应用程序和浏览器。
一般来说,单独的应用程序是分开的。 Safari 不与 Firefox 共享数据,即使两者都安装在同一台 OS X 机器上。现在,其中一个或另一个可能存在错误,可能允许 JS 不受限制地访问 OS 文件系统,因此允许 Safari 中的网站访问 Firefox 的数据(反之亦然),但这与 CSRF 无关.
对于任何现代操作系统上的任何独立应用程序都是如此。
Even something such as creating a cookie in JavaScript and then using PhoneGap or Titanium could be relevant I believe.
并非如此,就像 Safari 拥有 cookie 和 Firefox 拥有 cookie 一样。
it is in fact possible to CSRF an application
欢迎您提供证据证明您的主张,或提供您对 CSRF 的个人定义,其中包含 Safari 攻击 Firefox 等场景。
As an example, Shared Preferences in Android are sand boxed to prevent other applications from accessing the values.
正确。这与 CSRF 关系不大。
In the case of Android, it does seem that how you create and store the cookies does matter in the attack and it can have vulnerabilities.
再次,欢迎您提供证据证明您的主张,或提供您对 CSRF 的个人定义,其中包含 Safari 攻击 Firefox 等场景。
although physical access to the device leads to a security concern
拥有允许 CSRF 使移动设备物理改变其位置并因此对物理访问产生影响的传送器技术尚未开发。
关于android - 移动应用中的 CSRF,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/18064010/
总的来说,我对ruby还比较陌生,我正在为我正在创建的对象编写一些rspec测试用例。许多测试用例都非常基础,我只是想确保正确填充和返回值。我想知道是否有办法使用循环结构来执行此操作。不必为我要测试的每个方法都设置一个assertEquals。例如:describeitem,"TestingtheItem"doit"willhaveanullvaluetostart"doitem=Item.new#HereIcoulddotheitem.name.shouldbe_nil#thenIcoulddoitem.category.shouldbe_nilendend但我想要一些方法来使用
我试图在一个项目中使用rake,如果我把所有东西都放到Rakefile中,它会很大并且很难读取/找到东西,所以我试着将每个命名空间放在lib/rake中它自己的文件中,我添加了这个到我的rake文件的顶部:Dir['#{File.dirname(__FILE__)}/lib/rake/*.rake'].map{|f|requiref}它加载文件没问题,但没有任务。我现在只有一个.rake文件作为测试,名为“servers.rake”,它看起来像这样:namespace:serverdotask:testdoputs"test"endend所以当我运行rakeserver:testid时
作为我的Rails应用程序的一部分,我编写了一个小导入程序,它从我们的LDAP系统中吸取数据并将其塞入一个用户表中。不幸的是,与LDAP相关的代码在遍历我们的32K用户时泄漏了大量内存,我一直无法弄清楚如何解决这个问题。这个问题似乎在某种程度上与LDAP库有关,因为当我删除对LDAP内容的调用时,内存使用情况会很好地稳定下来。此外,不断增加的对象是Net::BER::BerIdentifiedString和Net::BER::BerIdentifiedArray,它们都是LDAP库的一部分。当我运行导入时,内存使用量最终达到超过1GB的峰值。如果问题存在,我需要找到一些方法来更正我的代
Rails2.3可以选择随时使用RouteSet#add_configuration_file添加更多路由。是否可以在Rails3项目中做同样的事情? 最佳答案 在config/application.rb中:config.paths.config.routes在Rails3.2(也可能是Rails3.1)中,使用:config.paths["config/routes"] 关于ruby-on-rails-Rails3中的多个路由文件,我们在StackOverflow上找到一个类似的问题
对于具有离线功能的智能手机应用程序,我正在为Xml文件创建单向文本同步。我希望我的服务器将增量/差异(例如GNU差异补丁)发送到目标设备。这是计划:Time=0Server:hasversion_1ofXmlfile(~800kiB)Client:hasversion_1ofXmlfile(~800kiB)Time=1Server:hasversion_1andversion_2ofXmlfile(each~800kiB)computesdeltaoftheseversions(=patch)(~10kiB)sendspatchtoClient(~10kiBtransferred)Cl
我的代码目前看起来像这样numbers=[1,2,3,4,5]defpop_threepop=[]3.times{pop有没有办法在一行中完成pop_three方法中的内容?我基本上想做类似numbers.slice(0,3)的事情,但要删除切片中的数组项。嗯...嗯,我想我刚刚意识到我可以试试slice! 最佳答案 是numbers.pop(3)或者numbers.shift(3)如果你想要另一边。 关于ruby-多次弹出/移动ruby数组,我们在StackOverflow上找到一
我需要从一个View访问多个模型。以前,我的links_controller仅用于提供以不同方式排序的链接资源。现在我想包括一个部分(我假设)显示按分数排序的顶级用户(@users=User.all.sort_by(&:score))我知道我可以将此代码插入每个链接操作并从View访问它,但这似乎不是“ruby方式”,我将需要在不久的将来访问更多模型。这可能会变得很脏,是否有针对这种情况的任何技术?注意事项:我认为我的应用程序正朝着单一格式和动态页面内容的方向发展,本质上是一个典型的网络应用程序。我知道before_filter但考虑到我希望应用程序进入的方向,这似乎很麻烦。最终从任何
我在我的项目中添加了一个系统来重置用户密码并通过电子邮件将密码发送给他,以防他忘记密码。昨天它运行良好(当我实现它时)。当我今天尝试启动服务器时,出现以下错误。=>BootingWEBrick=>Rails3.2.1applicationstartingindevelopmentonhttp://0.0.0.0:3000=>Callwith-dtodetach=>Ctrl-CtoshutdownserverExiting/Users/vinayshenoy/.rvm/gems/ruby-1.9.3-p0/gems/actionmailer-3.2.1/lib/action_mailer
我构建了两个需要相互通信和发送文件的Rails应用程序。例如,一个Rails应用程序会发送请求以查看其他应用程序数据库中的表。然后另一个应用程序将呈现该表的json并将其发回。我还希望一个应用程序将存储在其公共(public)目录中的文本文件发送到另一个应用程序的公共(public)目录。我从来没有做过这样的事情,所以我什至不知道从哪里开始。任何帮助,将不胜感激。谢谢! 最佳答案 无论Rails是什么,几乎所有Web应用程序都有您的要求,大多数现代Web应用程序都需要相互通信。但是有一个小小的理解需要你坚持下去,网站不应直接访问彼此
我尝试运行2.x应用程序。我使用rvm并为此应用程序设置其他版本的ruby:$rvmuseree-1.8.7-head我尝试运行服务器,然后出现很多错误:$script/serverNOTE:Gem.source_indexisdeprecated,useSpecification.Itwillberemovedonorafter2011-11-01.Gem.source_indexcalledfrom/Users/serg/rails_projects_terminal/work_proj/spohelp/config/../vendor/rails/railties/lib/r
