Domande con tag 'csrf'

domande con tag
2
risposte

Usa l'intestazione invece del cookie per i CSRF double submit cookies?

I cookie di invio doppio sono vulnerabili all'iniezione di cookie dallo stesso dominio. Cosa succede se utilizzo un'intestazione personalizzata anziché un cookie? Esempio di richiesta HTTP: header X-CSRF-PROTECTION = 5a445s66gg54s45a54 POST...
posta 27.01.2017 - 13:20
1
risposta

Problemi CSRF nell'app web "stateless"?

Quindi ho sviluppato un'applicazione web, che ha anche un'API. L'API supporta sia le richieste GET che POST. L'API è completamente senza stato, significa che nulla viene memorizzato o modificato in un database / file quando lo si utilizza. L'...
posta 12.12.2015 - 23:39
2
risposte

Esiste una valida tecnica di prevenzione lato server contro CSRF supportato da PHP?

Inizierò col dire: sono solo un appassionato di sicurezza informatica, non un esperto. Quindi, affermerò quello che penso di conoscere fino ad ora, per favore sentiti libero di correggermi in qualsiasi momento. Attraverso le mie letture, ho i...
posta 23.05.2016 - 17:06
1
risposta

Burpsuite Pro: token CSRF in sequencer

Quindi sto usando Burp per provare a stimare l'entropia usata dai token per prevenire CSRF. Diciamo che un sito web ha un URL nel suo sito protetto da un token: <a href="http://example.com/mypage.TOKEN=1234"> somelink</a> Il...
posta 18.09.2012 - 20:21
2
risposte

Con l'attacco BREACH, il token CSRF basato su sessione è ancora sicuro?

Questo è qualcosa che non sono stato in grado di comprendere, se BREACH consente la perdita di informazioni, dobbiamo mascherare o generare token CSRF in modo basato sul tempo o per richiesta per renderlo più sicuro? Per quanto ne so, il toke...
posta 11.10.2013 - 09:07
1
risposta

OWASP CSRFGuard ottiene il token tramite XMLHttpRequest - perché?

Desidero utilizzare il CSRFGuard Project per proteggere una webapp legacy Java contro gli attacchi CSRF. L'ultima versione delle dipendenze di Maven è 3.1.0, che è quello che uso. Questo fa parte del codice JavaScript incluso in ogni pagina...
posta 08.12.2016 - 18:41
2
risposte

Come gestire la protezione CSRF in un'applicazione a singola pagina?

Attualmente sto costruendo un'applicazione a singola pagina con un front-end JavaScript / HTML. Il front-end effettua chiamate a un'API WEB che è stata scritta in .NET. Attualmente ho una pagina HTML in cui un utente inserisce le proprie credenz...
posta 04.01.2017 - 18:11
1
risposta

Puoi rubare cookie di sessione con attacco BREACH?

Gran parte delle discussioni sulla vulnerabilità di BREACH riguardano il furto di token CSRF basati su sessioni. Ma se riesci a rubare un token basato sulla sessione, potresti anche rubare il token di sessione stesso? Ovviamente ci sono alcuni p...
posta 27.02.2015 - 23:26
1
risposta

Come bypassare la protezione dell'intestazione XMLHttpRequest per un attacco CSRF

Un client invia solo moduli usando XMLHttpRequest con l'uso di un'intestazione ( X-Header: [any value would be correct] ) per proteggersi dagli attacchi di falsificazione di siti incrociati. So che questo non è il modo giusto per prevenir...
posta 05.04.2015 - 17:07
1
risposta

CSRF e Flash / Flex

I client Flash e Flex possono effettuare chiamate RPC a un server utilizzando i protocolli NetConnection e AMF. Non è raro che queste chiamate RPC vengano configurate per l'autenticazione basata su un cookie. Ho sentito affermazioni contrasta...
posta 09.09.2013 - 21:59