Domande con tag 'csrf'

domande con tag
2
risposte

Perché i cookie di terze parti vengono inviati a siti Web di seconde parti?

Quando visito questo sito web, i cookie di Google Analytics vengono inviati dal mio browser insieme alla richiesta. Questo va contro alla mia piena comprensione dei cookie, ovvero che i cookie vengono inviati al sito che li ha messi lì. Co...
posta 02.05.2018 - 18:54
3
risposte

Come difendersi da un CSRF dallo stesso sito web?

Tutte le soluzioni (uso di token, ad esempio) Ho visto fino ad ora dettagli su come prevenire un CSRF da un sito web esterno, ovvero prevenire un CSRF da evil.com a victim.com. Tuttavia, come si potrebbe proteggere da una CSRF all'interno dello...
posta 22.03.2017 - 15:57
2
risposte

Dovrei investire il mio tempo per creare il mio sito solo HTTPS?

Sto costruendo un sito Web Django che non ha bisogno di registrazione / autenticazione. L'unica parte sensibile è un modulo con un reCaptcha v2. Ovviamente sto incorporando il token CSRF, che poi ho letto con Javascript e lo invio con le rich...
posta 27.08.2015 - 09:14
1
risposta

Github Pages Security, da .com a .io

Le pagine Github ora usano il dominio github.io invece di github.com Ho letto spiegazione github ma è ancora difficile per me capire la causa principale. Perché un dominio diventa un problema di sicurezza?     
posta 09.06.2014 - 10:30
3
risposte

I dati sono esposti in un attacco CSRF?

Mi chiedo se un attacco CSRF, rivelerà le informazioni che vengono inviate indietro in una richiesta GET. Ho bisogno di inviare un numero di previdenza sociale, al cliente un paio di volte, e NON è qualcun altro dovrebbe mai essere in grado d...
posta 07.01.2014 - 15:59
2
risposte

Generazione di token CSRF di sessione basato su ID sessione SSL

Situazione successiva: L'applicazione è accessibile solo tramite HTTPS / SPDY nginx sta inviando l'ID di sessione SSL al server upstream All'inizio della sessione mi piacerebbe usare i primi 128 caratteri di quella stringa In PHP: $c...
posta 10.06.2013 - 22:56
3
risposte

Il software AV protegge le applicazioni Web (Twitter, Facebook, ecc.) dagli attacchi? (CSRF, ecc.)

È corretto dire che il software AV si concentra su eseguibili scaricati e attività malevole localmente, e non esegue la scansione del contenuto HTTP / S per attacchi basati sul Web come CSRF, XSS, URL di phishing e altri attacchi? C'è qualcos...
posta 28.11.2012 - 17:15
2
risposte

Implementazione CSRF

Sto lavorando al sito web, dove voglio includere i controlli csrf usando i controlli referrer, sarà questo il modo sufficiente per proteggere il modulo dall'attacco csrf? se non ciò che un utente malintenzionato può fare per aggirarlo?     
posta 03.02.2015 - 12:20
1
risposta

XSS e CSRF. Una grande differenza

Quindi, c'è "solo" una differenza tra XSS e CSRF. E cioè che XSS impone l'esecuzione di uno script (o forza l'azione da intraprendere in qualche modo), mentre CSRF effettua una richiesta HTTP. Lo script (azione) in XSS può essere bloccato...
posta 14.06.2017 - 07:49
2
risposte

token anti-CSRF vs Referer e test POST

Capisco che i token anti-CSRF siano una porzione di dati inviati nella risposta che ci si aspetta corrispondano nelle richieste successive, ma non sono memorizzati nei cookie. Ad esempio, un modulo con un valore nascosto che deve essere incluso...
posta 10.01.2012 - 22:30