Domande con tag 'csrf'

domande con tag
1
risposta

Implicazioni sulla sicurezza dell'aggiunta di tutti i domini a CORS (ad esempio Access-Control-Allow-Origin: *) [duplicate]

Sono curioso di sapere quali sono le implicazioni per la sicurezza se imposto le seguenti due risposte HTTP CORS ; Access-Control-Allow-Origin: * Access-Control-Allow-Credentials: false Gli unici problemi di sicurezza che vedo sono attac...
posta 27.11.2013 - 12:07
1
risposta

Garantire che una stringa casuale in un cookie e un'intestazione siano la stessa cosa da proteggere contro XSRF?

In uno schema cookie-to-header di invio dei token xsrf / csrf , il server imposta un numero pseudo-casuale crittograficamente sicuro come cookie nella macchina del client. Il codice di script java sul computer client è tenuto a leggere questo...
posta 29.10.2017 - 02:52
1
risposta

Fixazione della sessione OpenID con CSRF

Questa risposta descrive una situazione in cui CSRF può essere utilizzato per ingannare un utente finale per inserire una carta di credito nell'account Paypal di un'altra persona. Evidenzia anche il fatto che le richieste GET che cambiano lo s...
posta 08.11.2011 - 17:50
1
risposta

Due soluzioni per CSRF su OWASP per Web Form di ASP.NET

Sono confuso dalle differenze tra queste due soluzioni di OWASP Guida di ASP.NET Web Soluzione 1: While viewstate isn't always appropriate for web development, using it can provide CSRF mitigation. To make the ViewState protect again...
posta 14.06.2018 - 04:24
1
risposta

L'intercettore token di Struts2 è un modo valido per proteggere contro CSRF?

Attualmente sto implementando l'intercettore token di default di Struts2 su tutti i nostri moduli come misura contro CSRF (facendo sì che un utente esegua inconsapevolmente un'azione sul nostro prodotto visitando un altro sito Web e attivando ja...
posta 30.11.2016 - 13:02
1
risposta

Il controllo accessi consente l'efficienza della protezione del browser di origine

Stavo creando un sito web come esperimento e ho provato a utilizzare poche richieste Ajax su siti diversi. Su alcuni siti avrò un errore: XMLHttpRequest cannot load http://example.com/path No 'Access-Control-Allow-Origin' header is presen...
posta 05.07.2016 - 01:14
1
risposta

È sicuro utilizzare più volte un token CSRF?

Sono nuovo del problema CSRF e sto studiando come implementare la protezione CSRF in applicazioni popolari come Facebook, Instagram, ecc. Ora sto studiando come viene utilizzata la protezione CSRF nell'implementazione di OAuth. Alcuni servizi...
posta 27.09.2015 - 16:05
1
risposta

Protezione CAS contro attacchi CSRF

Un sito web basato su Apache Struts utilizza central authentication service (cas) per l'accesso. Mi piacerebbe sapere se è necessario fornire una protezione aggiuntiva di csrf con Struts nel caso in cui cas non lo fornisca. I...
posta 06.06.2014 - 12:26
1
risposta

Come si è diffuso il worm worm?

Recentemente Tumblr è stato colpito da un worm a diffusione rapida . Come funzionava il worm? Qual è stata la vulnerabilità in Tumblr che ha sfruttato? Ha sfruttato una vulnerabilità XSS in Tumblr? Una vulnerabilità CSRF in Tumblr? Qualcos'a...
posta 07.12.2012 - 06:36
3
risposte

Perché posso leggere la risposta a questo attacco CSRF?

Ho un sito web www.foo.com:8002 che ho risolto a 127.0.0.1:8002 nel mio file hosts. Ne ho un altro (il sito principale) in esecuzione su localhost: 80 In www.foo.com:8002 la pagina appare come <form name="myform" action="http://localhost...
posta 28.08.2012 - 00:09