Domande con tag 'csrf'

domande con tag
2
risposte

Qual è un buon periodo di tempo prima di aggiornare il token CSRF della sessione utente?

Sto utilizzando un token modulo per impedire attacchi CSRF. Quei token sono memorizzati e legati alla sessione di un utente. Ora voglio aggiornare il token solo ogni N minuti o ore in modo che l'utente non riscontri problemi di usabilità come il...
posta 23.04.2014 - 15:38
4
risposte

Come condividere il token CSRF all'applicazione client?

Ho due diverse applicazioni web. L'app web di servizi ha definito i servizi REST. L'app Web del cliente ha pagine JSP che effettuano chiamate ai servizi REST utilizzando Ajax per ottenere i dati e visualizzarli nell'interfaccia utente. Voglio im...
posta 08.10.2013 - 11:41
3
risposte

I token anti-CSRF devono essere nascosti?

Se i token non sono nascosti, penso che l'attaccante possa caricare il sito sfruttato in un iframe, ma non sarà in grado di accedere al token a causa dello stesso criterio di origine (SOP). È corretto, o ci sono altri modi per accedere ai tok...
posta 11.07.2017 - 21:45
1
risposta

L'utilizzo dell'autorizzazione basata su token rende superflui i controlli CSRF all'accesso?

Sulla base delle mie conoscenze, evitare l'uso dei cookie come meccanismo di autenticazione impedisce completamente le vulnerabilità di CSRF (ovvero l'autenticazione basata su token in una SPA), quando autenticato. Questo rende anche non nece...
posta 26.05.2014 - 13:29
2
risposte

Che tipo di danno può fare un sito Web con javascript dannoso?

Immagino che voglio sviluppare un sito Web per danneggiare intenzionalmente i suoi visitatori, che tipo di attacchi posso fare? Immagino che un tipico attacco CSRF funzionerebbe, ma potrei rubare i cookies da un altro sito che non è mio? Cos'alt...
posta 26.01.2017 - 15:59
1
risposta

CSRF Bypass che utilizza ActionScript tramite CrossDomain.xml debole

Ho un obiettivo con CrossDomain.xml debole ma impedisce l'attacco CSRF guardando uno degli header HTTP personalizzati. Ho trovato il seguente action script su un paio di siti web, che funziona perfettamente tranne che non imposta l'intestazione....
posta 26.03.2017 - 12:55
1
risposta

Un CSRF non autenticato è ancora un CSRF?

OWASP definisce Cross-Site Request Forgery (CSRF) come an attack that forces an end user to execute unwanted actions on a web application in which they're currently authenticated. (sottolineatura mia) Un esempio di attacco è il co...
posta 22.04.2017 - 13:01
1
risposta

è un cookie HttpOnly e Secure sufficiente a prevenire CSRF in api di riposo?

Ho creato una API RESTful usando spring. Sto trasmettendo una chiave segreta come HttpOnly & Cookie sicuro con risposta all'accesso. Dopo l'accesso, ogni richiesta di resto controllerà con quel cookie e lo aggiornerà ogni volta. È possibi...
posta 23.12.2014 - 07:24
1
risposta

È possibile utilizzare il parametro "state" di oauth2 per evitare l'uso di cookie di sessione per identificare l'utente

link afferma: 4.1.1. Authorization Request" "state" RECOMMENDED. An opaque value used by the client to maintain state between the request and callback. The authorization server includes this value when r...
posta 19.10.2018 - 13:53
1
risposta

Quali sono i dettagli di implementazione e le motivazioni di AntiForgeryToken di ASP.NET MVC3?

AntiForgeryToken viene utilizzato per prevenire gli attacchi CSRF, tuttavia i collegamenti su MSDN non mi forniscono informazioni dettagliate su cosa fa esattamente AntiForgeryToken o su come funziona, o perché le cose sono fatte come sono. D...
posta 06.02.2011 - 18:03