Domande con tag 'csrf'

domande con tag
1
risposta

Protezione CSRF utilizzando il token di autenticazione nell'intestazione HTTP? [duplicare]

Sto lavorando su un'applicazione web che memorizza un token di autenticazione in un cookie. L'unica protezione CSRF è il controllo dei referrer. Sto pensando di migliorare questo spostando il token di autenticazione dai cookie a un'intes...
posta 27.01.2015 - 10:41
2
risposte

Wordpress non protegge da Login CSRF?

È possibile utilizzare Wordpress Nonces per proteggere da Login CSRF? link Ho dato un'occhiata al codice per la funzione e sembra che utilizzi solo l'ID utente per la verifica, il che significa che l'autore dell'attacco e la vittima avranno...
posta 08.08.2015 - 18:06
1
risposta

Invia modulo con token

Ho un token che voglio usare per prevenire l'accesso diretto ad alcuni file php. Alcuni di questi file php vengono caricati tramite AJAX. Il token viene utilizzato con una sessione per proteggere l'invio dei moduli E per impedire l'accesso...
posta 26.11.2013 - 22:29
1
risposta

Quale metodo per generare token CSRF dovrei usare nel mio scenario?

Sto lavorando su un'API RESTful per lavorare con la mia applicazione AngularJS. L'autenticazione funziona generando un ASP.NET FormsAuthenticationTicket. È memorizzato in un cookie utilizzando FormsAuthentication.Encrypt . Questo approc...
posta 05.12.2013 - 22:50
2
risposte

C'è una guida che dice che tutte le sessioni devono essere disconnesse quando un utente cambia la propria password?

Spesso quando un account viene violato, le indicazioni di sicurezza cambiano la password. Tuttavia, ho notato che cambiare una password a volte non è sufficiente per disconnettersi da altre sessioni attive. Esistono indicazioni di sicurezza...
posta 28.11.2012 - 17:05
2
risposte

Quali sono le caratteristiche comuni per identificare l'attacco CSRF dal file di registro di Apache?

Ho provato l'attacco CSRF sull'applicazione di vulnerabilità web conosciuta come DVWA sul mio localhost e sul sistema operativo Kali Linux. Ho cambiato la password su questa applicazione utilizzando CSRF. Ha raccolto le seguenti voci di registro...
posta 16.12.2018 - 21:19
2
risposte

Perché i browser non limitano i cookie per scheda per combattere gli attacchi CSRF?

Perché i cookie sono condivisi tra le schede del browser? evita questo impedisce CSRF su siti Web di autenticazione basati su cookie? Sta condividendo il cookie tra le schede preferite per accedere facilmente al sito web da più schede senza aute...
posta 03.06.2017 - 10:32
1
risposta

È richiesto AntiForgeryToken per l'iscrizione alla newsletter?

La raccomandazione generale è di includere un token anti-contraffazione in tutte le richieste POST, ma è necessario per il modulo di iscrizione alla newsletter via e-mail? Molti siti a scorrimento a pagina singola hanno un modulo di iscrizion...
posta 22.12.2017 - 12:18
2
risposte

È male lasciare che gli amministratori cambino l'e-mail degli utenti quando ripristinano le password?

Sono confuso su come implementare la funzionalità di reimpostazione della password. Sto testando un'applicazione Web con due ruoli: amministratore e utente normale. Solo gli amministratori possono utilizzare la funzionalità di reimpostazione del...
posta 09.01.2018 - 21:04
2
risposte

Flusso di lavoro di protezione JWT e CSRF

Ho uno schema di autenticazione e autorizzazione personalizzato basato su tre token JWT: token di riferimento (opaco), token di accesso e token di aggiornamento. Il backend imposta il token di riferimento in un cookie e lo invia ad ogni richiest...
posta 29.08.2017 - 12:50