Domande con tag 'csrf'

domande con tag
4
risposte

su CSRF sul modulo invia [duplicato]

Mi manca sicuramente qualcosa nell'immagine di come gli attacchi e le protezioni CSRF stanno funzionando. La mia comprensione in uno scenario di invio di moduli è che la protezione si basa su un token imprevedibile, in qualche modo si presu...
posta 31.07.2015 - 18:44
3
risposte

CSRF è ancora un vettore di attacco rilevante?

CSRF faceva parte delle più vecchie liste OWASP TOP 10 ma è stato ritirato "dato che molte strutture includono le difese CSRF, è stato trovato solo nel 5% delle applicazioni". Ma anche senza framework di difesa CSRF, ho la sensazione che i brows...
posta 02.10.2018 - 20:27
3
risposte

CORS e CSRF Prevenzione per un'API basata su REST

Attualmente sto cercando di capire come prevenire CSRF. La mia prima soluzione era usare un token che è suggerito ovunque. Ovviamente risolverebbe questo problema: <img src="http://api.example.com/me/delete">Maquellochenonriescoacapir...
posta 08.06.2015 - 15:52
1
risposta

CSRF sulla pagina di accesso

Ho un token CSRF nella pagina di accesso, che funziona come previsto. Quindi, quando l'utente ha la pagina di accesso aperta per un lungo periodo (il token è scaduto in background). Quando inseriscono correttamente le credenziali di accesso, com...
posta 25.03.2016 - 00:49
2
risposte

_ _ VIEWSTATE su Protect Against CSRF

Non sono uno sviluppatore .NET e sto cercando di capire esattamente come __ViewState protegge dagli attacchi CSRF / XSRF. Mi sono imbattuto in quanto segue: sicurezza Discussione dello scambio di stack su argomenti simili e Guida OWASP...
posta 18.11.2014 - 07:48
2
risposte

Will "Authorization: Bearer" nell'intestazione della richiesta corregge gli attacchi CSRF? [duplicare]

Ho letto sul fissaggio degli attacchi CSRF. Da alcune ricerche capisco che controllare un'intestazione non standard impedirebbe gli attacchi CSRF poiché il browser non invierà automaticamente tali intestazioni. Quindi ho pensato di raccom...
posta 01.11.2017 - 14:30
2
risposte

Qualcuno può consigliare gemme per controllare le vulnerabilità della sicurezza? [chiuso]

Voglio controllare uno dei miei progetti RoR per le vulnerabilità della sicurezza. Quindi qualcuno può raccomandare gemme per i miei bisogni?     
posta 16.07.2012 - 00:06
2
risposte

È possibile CSRF in un SSR SPA con autenticazione cookie?

Ho un'applicazione Single-Page, che è fondamentalmente un consumatore per la mia API che autentica utilizzando l'intestazione Authorization . Ora perché eseguo il rendering lato server, devo autenticarmi su la richiesta iniziale, che signi...
posta 09.01.2018 - 23:11
2
risposte

Previene l'attacco CSRF usando espressioni regolari, archiviazione di sessione e token di autenticazione?

Accesso utente al servizio Web API utilizzando il nome utente e la password. Token di autorizzazione della risposta del servizio API Web al browser client. Il browser client salva il token di autenticazione nella memoria di sessione utilizza...
posta 19.12.2015 - 04:47
2
risposte

Un attacco che non modifica lo stato del server può essere considerato un attacco CSRF?

Da Wikipedia: A real CSRF vulnerability in uTorrent (CVE-2008-6586) exploited the fact that its web console accessible at localhost:8080 allowed mission-critical actions to be executed as a matter of simple GET request: Force a ....
posta 25.03.2016 - 12:48