Le migliori csrf

1

risposta

posizionamento del token csrf

So che ci sono più posti dove mettere un token csrf e il più comune è inserire un campo di input nascosto in un modulo. Il secondo è in un cookie con la bandiera httpOnly. Quello che voglio sapere è che c'è un'opposizione a metterlo in una varia...

posta 01.08.2018 - 09:38

2

risposte

Login CSRF: può il login dell'attaccante utilizzando credenziali valide?

Considera la seguente immagine (tratta da pagina 21 qui ). È possibile? Se sì, come posso prevenirlo?

posta 13.03.2013 - 07:38

1

risposta

Che cosa fa il token URL in phpMyAdmin se non impedisce CSRF?

Ho visto che esisteva un exploit di sicurezza per phpMyAdmin che utilizza la falsificazione di richieste tra siti (CSRF) . Ho sempre pensato che il parametro ?token= in tutti gli URL phpMyAdmin impedisse questo, ma poi ho letto questo:...

posta 04.01.2018 - 17:01

1

risposta

Una richiesta inviata da un attacco XSS in un modulo di modifica password può essere considerata come CSRF?

Il mio partner stava testando un'applicazione web e ha trovato una vulnerabilità XSS su un modulo di modifica password, questo modulo colloca la vecchia password in un campo nascosto, quindi è possibile utilizzare un attacco XSS per cambiare la...

posta 17.03.2017 - 23:57

2

risposte

Qual è lo scopo dell'intestazione / cookie di default in un token anti-contraffazione MVC?

Ho letto che il token anti-contraffazione MVC sconfigge gli attacchi CSRF memorizzando i token di sicurezza in un campo modulo e quindi confrontando il valore predefinito dell'intestazione / cookie inviato automaticamente dal browser al valore d...

posta 11.05.2017 - 23:55

2

risposte

Perché dovrei mai non volere la protezione CSRF?

Mentre posso vedere alcuni dei sovraccarichi della protezione CSRF (generazione di token, convalida di token, lavoro extra da implementare), non vedo alcun motivo per cui vorresti mai non voglio . C'è mai un caso in cui la protezione CSRF è...

posta 29.07.2016 - 15:27

1

risposta

Cookie + token CSRF vs token OAuth per app native mobile

Abbiamo un'applicazione web a pagina singola esistente alimentata da endpoint ASP.NET WebApi. Questi endpoint sfruttano SimpleMembership e Autenticazione moduli per gestire l'autorizzazione e l'autenticazione: [System.Web.Http.HttpPost]...

posta 15.10.2016 - 18:01

1

risposta

Problemi di navigazione del pulsante Indietro a causa del token CSRF?

Ho un'applicazione web legacy e ho bisogno di proteggerla da CSRF. Ho provato a risolvere il problema senza compromettere la funzionalità dell'applicazione, ma ho riscontrato problemi relativi alla navigazione. È possibile generare token e ar...

posta 26.03.2016 - 18:13

2

risposte

Il framework Spring Security sconsiglia l'utilizzo di cookie double-submit per impedire CSRF. La loro preoccupazione è legittima?

Riguardavo la protezione di Spring Security della protezione CSRF per vedere come funziona. Spring non usa il modello double-submit, ma associa il token CSRF alla sessione dell'utente. La documentazione include le seguenti spiegazioni sul pe...

posta 22.11.2014 - 17:08

1

risposta

estraendo JSESSIONID da document.cookie

Stavo cercando di rubare i cookie su un'applicazione web basata su Java e Spring. Normalmente, un cookie può essere ottenuto tramite <script>alert(document.cookie)</script> , ma nel codice precedente, il cookie non viene avvisato...

posta 20.10.2014 - 14:15

Domande con tag 'csrf'