Domande con tag 'csrf'

domande con tag
1
risposta

Obbligatorio implementare HTTPOnly se i Java Secure Cookies sono impostati su "true"?

Ecco un caso di test da una recente valutazione della sicurezza delle applicazioni che ho riscontrato: cookie = new Cookie(strKey1, EncryptDecrypt.encrypt(strValue)); cookie.setMaxAge(-1); cookie.setDomain(COOKIE_NEW_DOMAIN); cookie.setPath("...
posta 03.04.2015 - 03:29
2
risposte

Ogni richiesta post include il token csrf?

Qual è il livello di vulnerabilità se il token anti-csrf non viene inviato con ogni richiesta post? (Se i livelli di vulnerabilità erano alti, medi e bassi). Capisco per le funzioni critiche come l'accesso, ecc. Dovresti includere il token csrf....
posta 28.08.2014 - 00:59
2
risposte

Test CSRF di un endpoint API utilizzando le richieste GET

Ho un endpoint api che restituisce un nuovo token API in JSON all'utente se sono connessi al mio sito Web con solo i cookie di sessione utilizzati per l'autenticazione. Sto provando a scrivere una parte di codice che viene caricata automatica...
posta 05.03.2018 - 19:13
1
risposta

attacco CSRF sulla funzionalità di caricamento dei file

È possibile eseguire attacchi CSRF sulla funzionalità di caricamento dei file? La mia applicazione carica i file inviando richieste POST multipart / form-data senza alcun token casuale. È possibile preparare un modulo HTML che dimostrerà questo...
posta 12.12.2017 - 18:42
2
risposte

Protezione dei siti Web da browser e plug-in obsoleti tramite una combinazione di lista bianca / lista nera?

Oltre a utilizzare le intestazioni del browser, desidero inserire nella blacklist / lista bianca il browser e i plug-in dal mio sito in modo da impedire a questi vecchi sistemi privi di patch di (1) di essere un utente generico del mio sito (2)...
posta 06.02.2011 - 16:59
4
risposte

Questo token CSRF generato sarebbe stato considerato crittograficamente strong?

Sto lavorando per migliorare la sicurezza di un'applicazione web esistente che al momento non ha implementato l'uso di token anti-CSRF, quindi spetta a me generarne uno, aggiungere campi nascosti e controlli, ecc. Un diritto di limitazione ora è...
posta 24.12.2014 - 22:56
1
risposta

OAuth + Confused Deputy + access token verification + state parameter

L'articolo "Uso di OAuth 2.0 per l'applicazione sul lato client" di Google all'indirizzo link afferma che il cliente DEVE convalidare tutti accedere a token per verificare che fosse il destinatario previsto del token di accesso, al fine di evi...
posta 09.02.2015 - 22:35
1
risposta

.NET offre 8+ modi per codificare i dati per prevenire attacchi XSS. Quale dovrei usare quando? [chiuso]

Sto cercando modi per utilizzare .NET per prevenire gli attacchi XSS e ho trovato i seguenti metodi per codificare i dati: string asdf = WebUtility.UrlEncode(code); string asdf1 = HttpUtility.UrlEncode(code); string asd...
posta 04.03.2014 - 15:59
2
risposte

Usando il pattern token di sincronizzazione, dovresti assicurarti che il token CSRF sia comunicato solo tramite HTTPS?

In parole semplici, i token CSRF possono essere eliminati dalle risposte dal server a meno che la richiesta / risposta non venga trasmessa tramite crittografia. È abbastanza preoccupante da preoccuparsi o è ragionevole consentire la trasmissione...
posta 16.04.2014 - 20:44
4
risposte

ID sessione sul codice sorgente html della pagina

Voglio sapere se è pericoloso in qualsiasi modo memorizzare l'ID della sessione utente loggato corrente sul codice sorgente generato dalla pagina. Perché volevo farlo? Sto provando a condividere la sessione utente tra due applicazioni, una...
posta 29.01.2014 - 23:08