Domande con tag 'csrf'

domande con tag
2
risposte

Sono cookie HTTPOnly inviati tramite XmlHTTPRequest con withCredentials = True?

Ho una domanda in due parti qui. Ho una webapp javascript che accede a endpoint REST privilegiati. Mi piacerebbe proteggere contro CSRF. Attualmente, ho creato un sistema di login che restituisce un cookie di accesso contenente un carico u...
posta 14.03.2014 - 07:48
1
risposta

Autenticazione con JWT

Sto costruendo SPA (React / Redux) e ho bisogno dell'autenticazione dell'utente. Ho trovato discussioni simili, ma non ho trovato risposte alle domande che ho delineato di seguito. Ecco alcune opzioni che ho trovato per implementare: Opzione...
posta 15.05.2018 - 08:11
1
risposta

I servizi Web .NET sono vulnerabili a CSRF?

Mentre sviluppando TeamMentor ho implementato un certo numero di WebServices (consumati tramite jQuery) e ora sul suo push finale per il rilascio Voglio ricontrollare che non sono vulnerabili a CSRF. Non ci sono molte buone informazioni là...
posta 03.02.2012 - 17:48
3
risposte

Mitigating Login CSRF su siti Web di terze parti

Sto lavorando a un progetto che richiede di avere una funzionalità di registrazione / accesso esposta ai partner che gestiscono il proprio sito web. Per alcuni di questi siti Web riutilizzano il nostro back-end e cambiano semplicemente lo stile...
posta 24.03.2016 - 09:45
2
risposte

Si tratta di un metodo anti-CSRF appropriato?

Ho installato il seguente sistema sulla mia app Web e vorrei sapere se è sicuro. Cookie contiene token CSRF. L'applicazione rileva il token CSRF nel cookie. L'applicazione posiziona il token in un'intestazione. Il token nell'intestazio...
posta 09.07.2015 - 17:41
1
risposta

perché il tipo di contenuto dell'applicazione / json ha un token csrf?

Se Json Applications sta verificando correttamente il tipo di contenuto e ha crossdomain.xml ben configurato, allora perché usano ancora il token csrf? Qualcuno potrebbe dirmi, perché usano il token csrf? AFAIK, non c'è modo di eseguire l'...
posta 19.01.2015 - 07:54
1
risposta

Che cosa costituisce un exploit? Sono stato in grado di compromettere il mio router domestico comune

Stava configurando il Wi-Fi a casa oggi (utilizzando solo il router predefinito Time Warner Cable) e rimase sconvolto dalla minima sicurezza fornita dal server web. Il nome utente / password predefiniti è googlable ed è admin admin...
posta 30.01.2015 - 08:21
3
risposte

In che modo lo stesso criterio di origine causa il fallimento del PoC quando non è necessario leggere i dati di restituzione?

Sto eseguendo un'analisi di vulnerabilità autorizzata su un servizio Web personalizzato e ho scoperto una vulnerabilità CSRF. Dato che non ci sono token di forma accoppiati con il servizio che non verifica l'intestazione di origine, credevo d...
posta 17.10.2014 - 04:30
2
risposte

Token casuale e chiave di conferma per email di 10 caratteri sufficienti?

Ho una funzione che restituisce chiavi casuali non gestibili con i seguenti caratteri: a-z A-Z 0-9. Ho impostato la lunghezza della chiave su 10 e la sto usando per i miei token modulo per prevenire CRSF e userò la stessa funzione anche per g...
posta 22.04.2014 - 19:54
1
risposta

Perché è richiesto Access-Control-Allow-Origin per le richieste cross-domain noncredenziali? [duplicare]

Comprendo CSRF e perché le richieste AJAX inter-dominio con cookie o altre credenziali non possono essere consentite senza un'intestazione Access-Control-Allow-Credentials esplicitamente consentendole, altrimenti sarei in grado di fare...
posta 21.08.2013 - 17:54