Sta inviando recaptchaPublicKey e RecaptchaToken nella richiesta di posta una potenziale minaccia alla sicurezza?

2

Ho implementato reCaptcha in forma di login per rallentare il potenziale attacco di forza bruta. Tuttavia, l'applicazione invia recaptchaPublicKey & RecaptchaToken nella richiesta di post con le credenziali di accesso. Porta a una minaccia alla sicurezza? Secondo la mia comprensione, se l'applicazione riflette segreti (come i token) nei corpi di risposta HTTP, questo sarà classificato come potenziale attacco BREACH (Browser Ricognizione e Espansione tramite Adaptive Compression of Hypertext).

È sicuro inviare RecaptchaToken in post richiesta?

    
posta NinjaV 22.12.2017 - 13:01
fonte

1 risposta

1

L'invio di campi aggiuntivi nella richiesta non è un problema. A seconda dell'implementazione sul lato server, potrebbero essere necessari per convalidare la richiesta. Non dovresti avere bisogno di rifletterli, quindi questo non porterebbe ad un XSS. In ogni caso, questo non sarebbe un attacco BREACH: un attacco BREACH richiede che l'attaccante sia in grado di controllare parte della pagina e non riesco a vedere come sarebbe il caso di ReCaptcha. (A meno che tu non consideri Google come l'autore dell'attacco, ma poi includere il loro javascript sul tuo sito avrebbe comunque consentito loro l'accesso, quindi non cambia il panorama delle minacce.)

    
risposta data 15.01.2018 - 05:37
fonte

Leggi altre domande sui tag