0
雖然在Keycloak帳戶服務中使用了CSRF令牌,但存在CSRF令牌固定漏洞。Keycloak帳戶服務中的CSRF漏洞
爲防止CSRF,使用名爲KEYCLOAK_STATE_CHECKER的cookie(CSRF防禦方法:「雙提交cookie」)。對於每個會話,CSRF令牌都必須是唯一的。但是,由於此cookie在登錄時接受用戶代理提供的值,並且在註銷時不清除cookie,因此對於使用相同用戶代理的用戶,CSRF令牌的值在會話中相同。
即使沒有活動的受害者會話,攻擊者也可以利用此漏洞從受害者的瀏覽器中竊取此Cookie。然後,該值可以被攻擊者用來執行CSRF攻擊。此攻擊的影響可能與攻擊者接管IDP的管理員並利用使用此IDP服務託管的任何應用程序一樣糟糕。
需要修復該問題here。
我的問題是:如果可以有解決方案/解決問題的方法,直到提供實際解決方案?