Domande con tag 'csrf'

domande con tag
1
risposta

Token XSRF aggiunto ai moduli dinamicamente

Non l'ho visto da nessuna parte in natura, quindi mi chiedo se è sicuro iniettare nei moduli della stessa origine l'input nascosto contenente il token XSRF usando JavaScript come questo: document.addEventListener('DOMContentLoaded', () =>...
posta 12.01.2017 - 01:57
0
risposte

Burpsuite - Macro token CSRF

Ho implementato un sito Web utilizzando vaadin-framework . Quando invio una richiesta al mio server, ci sono alcuni dati nel mio POST-Request che assomigliano a: {"csrfToken":"3df2f528-15c7-434c-8505-539be1c44157","rpc":[["13","v",...
posta 06.10.2016 - 11:02
3
risposte

Perché il modello di token del sincronizzatore è preferito al controllo dell'intestazione di origine per impedire CSRF

Sono ben consapevole del concetto di CSRF, e penso di essere anche consapevole delle possibili possibilità di protezione, come descritto da OWASP . Tuttavia, non sono sicuro del motivo per cui il pattern di sincronizzazione sembra essere prefer...
posta 09.06.2015 - 11:27
0
risposte

Astonishing Vulnerabilità recente del bypass dell'autenticazione del router Belkin: CSRF utilizzato per exploit?

Oggi stavo visitando la pagina principale del sito CERT per un altro motivo quando ho dato un'occhiata all'elenco dei recenti bollettini sulla vulnerabilità e ho trovato alcune notizie che avevo in qualche modo perso prima di oggi: a avviso che...
posta 23.09.2015 - 01:41
0
risposte

Evitare la rappresentazione del client con Rest Api

Sono certo che questo caso d'uso abbia una soluzione conosciuta, ma non riesco a trovare nulla su google o non so quali parole chiave usare. Stiamo costruendo un'app Angolare supportata da un'API di riposo. Per Autorizzazione utilizziamo OAUTH 2...
posta 15.01.2016 - 15:04
1
risposta

Token CSRF per un sistema JWT-auth che utilizza i cookie

Penso di averlo risolto, ma mi piacerebbe sentire se sbaglio. Abbiamo un insieme di app Python + Angular.js, che utilizzano token JWT per l'autenticazione, in cui i token vengono crittografati utilizzando una chiave segreta, il payload identific...
posta 28.12.2016 - 23:47
2
risposte

Protezione CSRF con cookie e AJAX

Vorrei sottolineare che ho letto l'altra domanda con un titolo simile imbarazzante e che non contiene una risposta alla mia domanda. Non ho usato CodeIgniter come programmatore, ma di recente ho eseguito un test di penetrazione per un sito We...
posta 09.06.2013 - 02:12
2
risposte

Esiste una vulnerabilità quando si utilizza XHR con metodo GET e intestazione HTTP anti-CSRF personalizzata?

Pulsante Imagine dopo aver fatto clic su quale browser invia la richiesta http XHR con il metodo GET. Caratteristiche: dopo l'esecuzione dell'azione sensibile richiesta viene eseguita le informazioni sensibili vengono inviate nei parametri...
posta 17.05.2012 - 13:37
4
risposte

Va bene inserire il token CSRF in un cookie?

Sto sviluppando la protezione CSRF con un token per una delle mie applicazioni. Poiché non c'è spazio per implementare il token in POST o GET o per formare dati, sto pensando di inserirlo in un cookie. È un buon approccio?     
posta 05.10.2018 - 12:33
2
risposte

injection header + codeigniter

Sto leggendo le Linee guida per la codifica sicura di Mozilla e ho trovato questa affermazione: Don't trust any user data (input, headers, cookies etc). Validate it before using it Sto usando il framework codeigniter e sto usando le segue...
posta 09.05.2012 - 23:55