Domande con tag 'csrf'

domande con tag
2
risposte

La protezione CSRF può funzionare anche se esiste una vulnerabilità XSS?

Necessità di una protezione CSRF che resista a un attacco XSS Uno dei grandi pericoli dell'XSS è che spesso può ignorare la protezione CSRF e quindi eseguire qualsiasi azione che la vittima può compiere. Se sarebbe possibile prevenire CS...
posta 11.04.2016 - 21:52
2
risposte

Che cosa può fare un utente per proteggersi dagli attacchi CSRF?

Se sto navigando mentre sono connesso al mio pannello di hosting o router o qualsiasi altra applicazione, c'è una possibilità di essere violato da un CSRF exploit. Quindi, la domanda qui riguarda l'utente o il lato client, non la protezi...
posta 17.04.2016 - 19:15
2
risposte

Recupero del dominio incrociato token CSRF utilizzando JSONP, rischioso?

Esaminando questa domanda precedente , la risposta suggerisce che l'utilizzo di GET la richiesta di recuperare un token CSRF per fare un POST è un metodo legittimo per prevenire gli attacchi CSRF. Ho due siti Web e un modulo è usat...
posta 23.04.2014 - 01:40
1
risposta

Wordpress 4.0 CSRF Reimposta password

Sto lavorando a un progetto di facoltà. Devo replicare la vulnerabilità di Wordpress CSRF sul mio wordpress localhost. Sto cercando di farlo: link   Non sono riuscito a trovare alcun tutorial utile. Sto pensando di usare un modulo Metasploit s...
posta 28.05.2017 - 23:13
3
risposte

Qual è la soluzione rapida per l'attacco CSRF?

L'applicazione è costruita in linguaggio Java e framework JSF. Ho segnalato un attacco CSRF e il team di sviluppo deve risolverlo presto da quando l'applicazione è in produzione. Ho raccomandato di utilizzare token CSRF ma il team di sviluppo...
posta 10.05.2018 - 13:34
3
risposte

A quali attacchi CSRF vengono protetti i cookie "First-Party-Only"?

Il nuovo attributo del cookie "Solo per la prima parte" : ... allows servers to assert that a cookie ought to be sent only in a "first-party" context. This assertion allows user agents to mitigate the risk of cross-site request...
posta 03.02.2016 - 15:08
1
risposta

Come forgiare l'intestazione del referer nel metodo GET attivato su HTML

Sto osservando le vulnerabilità CSRF di DVWA. Eseguo il livello medio che utilizza questo pezzo di codice per convalidare se l'intestazione referer è uguale al nome del server: if( eregi( $_SERVER[ 'SERVER_NAME' ], $_SERVER[ 'HTTP_REFE...
posta 04.11.2017 - 18:40
1
risposta

In che modo la stessa politica di origine protegge da PUT / DELETE CSRF?

Ho letto la guida OWASP per la falsificazione di richieste tra siti e afferma che "altro I metodi HTTP ", come PUT e DELETE potrebbero essere teoricamente usati per CSRF. Tuttavia con lo stesso criterio di origine queste richieste non vengo...
posta 05.04.2016 - 20:09
2
risposte

Protezione CSRF per richieste, azioni, ricerche o commenti non autenticati?

Ho seguito l'esempio del trasferimento di fondi CSRF da una banca in cui l'utente ha effettuato l'accesso. Analogamente, ho esaminato CSRF in caso di aggiornamento della posta elettronica. Penso di averlo capito ma non sono abbastanza sicuro che...
posta 13.04.2015 - 12:18
1
risposta

CodeIgniter CSRF confusione

Ho lavorato con CodeIgniter per circa 3 settimane e sto molto bene sulla strada per amare questo framework. Comunque ho visto il codice core del framework e stavo leggendo la protezione CSRF. Ho notato (la mancanza di) rigenerazione CSRF. Tutto...
posta 18.02.2013 - 22:38