Domande con tag 'csrf'

domande con tag
2
risposte

Controlla un token senza controllare un'intestazione sufficiente per la protezione CSRF?

Nelle loro linee guida per proteggere la tua applicazione dagli attacchi CSRF, OWASP consiglia due distinti controlli: 1. Check standard headers to verify the request is same origin 2. AND Check CSRF token Questa domanda chiede se è suf...
posta 20.09.2017 - 20:17
2
risposte

Perché i cookie http vengono automaticamente inviati al server su richiesta HTTP e CSRF

Sul lato client, una richiesta HTTP inviata dalla pagina web A che bersaglia il sito B causerà l'invio di tutti i cookie appartenenti al sito Web B (anche se A non appartiene a B). Non capisco perché il comportamento dei cookie sia stato prog...
posta 17.04.2017 - 16:49
1
risposta

Schema di best practice per la sincronizzazione in background del worker di servizio con la protezione CSRF

Ho una richiesta che utilizza un token una tantum incorporato nella pagina per garantire la protezione CSRF - un utente malintenzionato potrebbe ingannare i miei utenti a fare una richiesta illecita, ma non può ottenere il token e anche se essi...
posta 09.08.2016 - 08:59
1
risposta

Abbiamo bisogno della protezione CSRF per il profilo del richiedente passivo della Federazione WS?

Considera i passaggi coinvolti nel profilo del richiedente passivo della WS-Federation 1 : Theabovefigureshowsasequencediagramofauser(requestor)accessingawebapplicationwithhisbrowser.Sincetheuserwasnotauthenticationduetoarecentsession,theapp...
posta 13.02.2017 - 18:11
2
risposte

È possibile ingannare una persona per andare a un sito Web e eseguire JavaScript, senza che loro sappiano? (nessun iframe)

Il mio sito web è W. Se fai una richiesta GET al mio sito web, ti dà JavaScript, e se esegui il JS, allora fai qualche azione (se sei loggato e hai un cookie di sessione). Qualcuno può ingannare furtivamente gli altri nell'esecuzione del JS?...
posta 26.05.2016 - 10:11
2
risposte

È possibile attivare il pulsante Indietro se utilizziamo un token CSRF per richiesta?

Dobbiamo compromettere la navigazione del pulsante Indietro se usiamo un token CSRF per richiesta invece di un token per sessione? (Ho avuto successo nell'utilizzare un token per sessione senza problemi di navigazione ma non sono riuscito a f...
posta 14.06.2016 - 06:56
1
risposta

CSRF nelle chiamate API da Javascript sul browser

Ho notato dei token usati nelle presentazioni dei moduli per prevenire gli attacchi CSRF, anche se nel 2016 molte persone si stanno spostando verso il frontend & JS di JS. backend API restful. Sono perplesso, con questo approccio non c'è più...
posta 03.03.2016 - 03:08
2
risposte

È possibile utilizzare postMessage per inoltrare i dati agli iframe degli hacker nell'attacco CSRF?

Considera un utente che ha una sessione aperta su un sito legittimo con una password. Questa pagina non ha token anti-CSRF. Un hacker crea una pagina web con 2 iframe nascosti. Un iframe esegue un GET sulla pagina con la password e invia ques...
posta 14.04.2015 - 18:31
0
risposte

Come funziona la protezione di Ruby on Rails CSRF?

Non sono sicuro di capire completamente come Ruby on Rails gestisce la protezione CSRF. La mia comprensione era che un token è generato e incorporato nel codice HTML come metatag e allo stesso tempo crittografato nel cookie di sessione. Quand...
posta 12.07.2018 - 16:24
0
risposte

Wanted: strategia di accesso / autenticazione sicura per sito Web con AND senza JavaScript nel 2018

Sto cercando di capire una strategia per l'autenticazione sicura - senza re-inventare la ruota, ma anche considerando i vincoli specifici della mia situazione. La strategia non dovrebbe essere legata a un particolare framework, anche se sto guar...
posta 13.03.2018 - 13:17