Domande con tag 'csrf'

8
risposte

Perché aggiornare il token CSRF per richiesta di modulo?

In molti tutorial e guide vedo che un token CSRF deve essere aggiornato per ogni richiesta. La mia domanda è: perché devo farlo? Non è un singolo token CSRF per sessione molto più facile che generarne uno per richiesta e tenere traccia di quelli...
posta 20.10.2012 - 13:15
2
risposte

Devo usare AntiForgeryToken in tutti i moduli, anche login e registrazione?

Gestisco un sito piuttosto grande con migliaia di visite al giorno e una base utenti piuttosto ampia. Da quando ho iniziato la migrazione a MVC 3, ho inserito AntiForgeryToken in un certo numero di moduli, che modificano i dati protetti ecc....
posta 11.02.2011 - 22:08
3
risposte

Devo utilizzare la protezione CSRF sugli endpoint di Rest API?

Nota rapida: questo non è un duplicato di Protezione CSRF con intestazioni personalizzate (e senza token di convalida) nonostante alcune sovrapposizioni. Quel post discute come eseguire la protezione CSRF sugli endpoint Rest senza discutere...
posta 03.08.2017 - 20:41
4
risposte

Protezione CSRF con intestazioni personalizzate (e senza token di convalida)

Per un REST-api sembra che sia sufficiente controllare la presenza di un'intestazione personalizzata per proteggersi dagli attacchi CSRF, ad es. client invia "X-Requested-By: whatever" e il server controlla la presenza di "X-Requested-By"...
posta 30.10.2012 - 10:59
2
risposte

Perché l'intestazione Access-Control-Allow-Origin è necessaria?

Comprendo lo scopo del Access-Control-Allow-Credentials intestazione , ma non riesce a vedere quale problema risolve l'intestazione Access-Control-Allow-Origin . Più precisamente, è facile vedere come, se le richieste AJAX tra domin...
posta 10.10.2013 - 19:11
3
risposte

Perché i browser non bloccano i POST tra siti per impostazione predefinita?

La politica della stessa origine (SOP) fa sì che i browser blocchino lo scripting da un'origine a un altro, a meno che non venga esplicitamente detto di non farlo. Ma i POST cross-site sono ancora permessi, creando il vettore per gli attacchi CS...
posta 18.04.2018 - 13:39
4
risposte

Un cookie CSRF deve essere HttpOnly?

Recentemente abbiamo ricevuto un rapporto sulla sicurezza contenente: Cookie(s) without HttpOnly flag set vulnerabilità, che apparentemente avevamo in una delle nostre applicazioni interne. La correzione applicata era semplice come im...
posta 15.12.2017 - 05:01
5
risposte

Qual è il modo corretto per implementare token modulo anti-CSRF?

Sono pienamente consapevole di CSRF e ho già implementato alcuni moduli sicuri, ma non sono mai stato contento i risultati ancora. Ho creato token come md5 di username, informazioni sul modulo e salt e lo ho memorizzato in una sessione. Q...
posta 12.11.2010 - 08:58
3
risposte

OAuth2 Cross Site Request Forgery e parametro di stato

Il link dice: The client MUST implement CSRF protection [...] typically accomplished by requiring any request sent to the redirection URI endpoint to include a value that binds the request to the user-agent's authenticated state (e.g. a h...
posta 14.09.2012 - 12:17
2
risposte

Modulo di accesso HTML senza protezione CSRF

Recentemente abbiamo ricevuto un rapporto sulle vulnerabilità che afferma che uno dei nostri moduli HTML in una delle applicazioni interne non è protetto da CSRF. Inizialmente, non è stato possibile riprodurlo immediatamente manualmente utilizza...
posta 13.12.2017 - 18:50