Domande con tag 'csrf'

domande con tag
3
risposte

Vantaggi di più token CSRF validi

Per quanto ho capito, ci sono due approcci per eseguire la protezione CSRF: 1) token CSRF per sessione: il token viene generato una volta per sessione. Questo è il modo più semplice; 2) Token CSRF per richiesta: il nuovo token viene genera...
posta 09.02.2014 - 08:33
1
risposta

È possibile inviare più richieste POST utilizzando CSRF?

Sono consapevole che puoi eseguire una richiesta POST utilizzando CSRF usando il metodo seguente: <form name="x" action="http://site/index/dosomething" enctype="text/plain" method="post"> <!-- stuff --> </form> <script...
posta 22.10.2013 - 23:40
2
risposte

Perché i token CSRF vengono utilizzati così spesso?

I token CSRF vengono utilizzati molto . Il server imposta un token nel cookie per quel dominio che (1) include nel modulo HTML o (2) Javascript può leggere e includere nella richiesta. Il server verifica che il token nella richiesta corrispo...
posta 08.12.2014 - 09:51
1
risposta

Come prevenire CSRF se vuoi includere plugin Flash nel tuo modulo come Uploadify nel tuo modulo?

Che cos'è CSRF? Ho bisogno di una definizione di base che non sia appena stata sollevata da Wikipedia. Comprendo l'iniezione SQL, l'XSS, l'avvelenamento da cookie, ma non riesco a spiegarmelo. Sto usando un framework, CakePHP , che ha...
posta 18.01.2011 - 17:26
2
risposte

Come configurare Chrome per bloccare i siti Web esterni che accedono al mio router?

Ancora un'altra vulnerabilità del router seria è stata divulgata: link Questa è una vulnerabilità legata all'esecuzione dei comandi attraverso l'interfaccia web. Non sono troppo preoccupato per gli utenti interni che sono in grado di sfrutt...
posta 12.12.2016 - 12:22
1
risposta

Ho bisogno di protezione CSRF in questa configurazione con un'API REST supportata da oauth2 e un server di autenticazione SSO di autenticazione di base?

Ho visto la risposta È possibile CSRF se non utilizzo nemmeno i cookie? , ma ci sono 2 risposte in conflitto e la domanda in sé non fornisce molte informazioni. Sto creando un'API REST che verrà utilizzata da un client Web (di nostra creazio...
posta 11.07.2018 - 06:28
2
risposte

Problemi nell'evitare il dirottamento di JSON con la convalida AntiForgeryToken di MVC3 o con un token simile

Sono titubante nell'implementare le proposte di dirottamento anti-JSON dal momento che Le soluzioni consigliate per mitigare il dirottamento JSON coinvolgono POST JSON non REST completi per ottenere dati La soluzione alternativa (object...
posta 06.02.2011 - 17:52
2
risposte

Quanto sono sicuri i token di autenticità in Rails

Mi sono imbattuto in un sito Web che utilizza il token di autenticazione Rails per impedire gli attacchi CSRF. La mia preoccupazione qui è che posso vedere il token di autenticità nel codice sorgente della pagina web. Se qualsiasi altro servizio...
posta 22.04.2013 - 17:43
4
risposte

Vale la pena controllare il referrer?

Ho fatto ricerche su CSRF e una cosa sulla lista, credo sia discutibile. Non sono sicuro che "controllare il referrer" valga la pena o meno. Alcuni articoli che ho letto stanno dicendo qualcosa di questo tipo: However, this is risky, as...
posta 13.08.2015 - 18:24
3
risposte

Perché la vulnerabilità XSS dal sito che lancia l'attacco CSRF rende il Pattern token di sincronizzazione non sicuro?

Stavo leggendo la domanda sull'uso del Synchronizer Token Pattern per la protezione da CSRF ed i commenti della risposta mi hanno incuriosito. Naturalmente, come dice l'ultimo commento, se il tuo sito ha una vulnerabilità XSS, allora CSRF non...
posta 08.10.2013 - 19:09