Domande con tag 'csrf'

domande con tag
4
risposte

Come proteggersi dal login CSRF?

Il link fa notare che la maggior parte dei meccanismi di protezione CSRF non riesce a proteggere i moduli di accesso. Poiché link spiega: The vulnerability plays out like this: The attacker creates a host account on the trusted do...
posta 05.06.2014 - 08:23
3
risposte

Qual è lo scopo del controllo redirect_uri di OAuth 2.0?

Il meccanismo del codice di autorizzazione della specifica OAuth 2.0 include il controllo URI di reindirizzamento dal sito a cui viene effettuato il reindirizzamento. Vedi i passaggi D ed E nella sezione 4.1 delle specifiche . Inoltre, la sezi...
posta 21.10.2013 - 20:13
3
risposte

Risultati del Pentest: attacco CSRF discutibile

Recentemente abbiamo avuto una delle nostre applicazioni web ripetute. Tutto è andato bene, tranne che per una vulnerabilità CSRF, ed è questa scoperta che ho un osso con cui scegliere. Alcuni background: stiamo usando ASP.NET MVC e, tra le a...
posta 23.11.2016 - 08:48
2
risposte

Protezione CSRF e app per pagina singola

Sto scrivendo un'app web client spessa utilizzando Angular.js (app per pagina singola) e mi chiedevo quali sono le migliori pratiche per proteggere l'app utilizzando un token CSRF. Devo inviare un token CSRF quando l'app viene caricata per la...
posta 25.05.2013 - 18:31
1
risposta

Come fa un token CSRF a prevenire un attacco e come posso usarlo / evitarlo in modo sicuro per la mia API JSON?

Sto provando a far comunicare un'applicazione iOS con un sito web di Ruby on Rails utilizzando JSON. Durante il tentativo di pubblicare un login per creare una sessione utente, ho scoperto che mi mancava un token CSRF. Non avevo idea di cosa fos...
posta 22.12.2012 - 22:43
3
risposte

Perché il doppio invio di token CSRF deve essere crittografato con numeri casuali forti?

Stavo solo esaminando il Cheat Sheet di OWASP per la prevenzione CSRF. Per quanto riguarda il metodo di invio doppio dei cookie , si dice: the site should generate a (cryptographically strong) pseudorandom value Questo metodo si basa co...
posta 18.12.2013 - 10:39
4
risposte

Protezione del database dell'assistenza sanitaria

Sto facendo un progetto minore sulla sicurezza delle informazioni in cui sto implementando le tecniche elencate di seguito per proteggere un database HEALTH CARE . Prevenzione dell'iniezione SQL (utilizzando istruzioni preparate, convalida,...
posta 11.05.2014 - 18:50
4
risposte

Il CORS aiuta in ogni caso contro la falsificazione di siti incrociati?

Ho letto negli ultimi due giorni su CORS e in molti posti è menzionato in quanto è una funzione di "Sicurezza" per aiutare il mondo dalla contraffazione interdominio. Non vedo ancora il beneficio e il ragionamento per CORS. Ok, i browser fara...
posta 26.08.2015 - 13:30
5
risposte

L'azione di login e disconnessione dovrebbe avere la protezione CSRF?

Sto creando un'applicazione web in Django che genera e include token CSRF per le sessioni (una sessione di Django può essere anonima o un utente registrato). Devo mantenere la protezione CSRF ai controller che gestiscono l'azione di login e disc...
posta 09.07.2014 - 09:25
2
risposte

CSRF con JSON POST

Sto giocando con un'applicazione di test che accetta richieste JSON e la risposta è anche JSON. Sto cercando di fare un CSRF per una transazione che accetta solo i dati JSON con il metodo POST in richiesta. L'applicazione genera un errore se l'U...
posta 30.12.2011 - 10:39