Le migliori csrf

1

risposta

Differenza tra XSS e CSRF? [chiuso]

Conosco lo scripting cross-site e la falsificazione di richieste cross-site. Voglio sapere se c'è qualche somiglianza tra loro?

posta 06.10.2016 - 21:23

2

risposte

Double Submit Cookies vulnerabilità

Il meccanismo Double Submit Cookies vulnerabile ad eccezione di XSS e sottodominio attacchi ? Tutti i meccanismi di protezione CSRF sono vulnerabili all'XSS, quindi non è una novità. Mi sto solo chiedendo se posso fare affidamento su que...

posta 05.06.2014 - 21:53

3

risposte

Perché il modello di token del sincronizzatore è preferito al controllo dell'intestazione di origine per impedire CSRF

Sono ben consapevole del concetto di CSRF, e penso di essere anche consapevole delle possibili possibilità di protezione, come descritto da OWASP . Tuttavia, non sono sicuro del motivo per cui il pattern di sincronizzazione sembra essere prefer...

posta 09.06.2015 - 11:27

5

risposte

Devo utilizzare la protezione CSRF per le richieste GET?

Ho visto diverse affermazioni generiche sul Web che non richiedono la protezione CSRF per le richieste GET. Ma molte applicazioni web hanno richieste GET che restituiscono dati sensibili, giusto? Allora non vorresti proteggere quelli contro g...

posta 26.02.2016 - 00:56

2

risposte

Come fare Ajax in modo sicuro?

Questa domanda è ispirata a questa domanda di sicurezza link Quali sono le minacce nell'utilizzo di Ajax? (Si prega di notare che sto parlando di minacce alla sicurezza, non di aspetti negativi) Come faccio Ajax in modo sicuro? (Si prega...

posta 10.02.2011 - 20:06

2

risposte

I cookie dello stesso sito saranno una protezione sufficiente contro CSRF e XSS?

Devo dire che mi piace questa idea e sembra che porterà una nuova forma di protezione contro CSRF e XSS o almeno ridurrà quegli attacchi. Quindi, quanto sarà efficace questa protezione? SameSite-cookies is a mechanism for defining how co...

posta 30.04.2016 - 11:37

3

risposte

Una JWT è utilizzabile come token CSRF?

Ho bisogno di un token CSRF, per una determinata applicazione che invia un modulo con POST . Idealmente, mi piacerebbe non effettuare una chiamata DB per ogni invio, per evitare la memorizzazione e il traffico DB & latenza. A tal fine i...

posta 25.02.2016 - 19:48

5

risposte

Perché un token anti-contraffazione ha bisogno di così tanti bit?

Nel link Google consiglia di utilizzare un numero casuale protetto da crittografia a 130 bit come anti-contraffazione token. Perché abbiamo bisogno di così tanti bit? Se un attaccante decide di montare un attacco a forza bruta, non sareb...

posta 03.06.2014 - 06:52

4

risposte

Token CSRF nella richiesta GET

Secondo la guida ai test di OWASP, un token CSRF non deve essere contenuto in una richiesta GET, in quanto il token stesso potrebbe essere registrato in vari posti come i registri o a causa del rischio di spallamento. Mi chiedevo se permettes...

posta 30.05.2013 - 13:33

3

risposte

Se non desidero mai accettare richieste di origine incrociata, posso semplicemente ignorare CORS?

Le specifiche CORS indicano che se un metodo di richiesta e le intestazioni non sono semplici quindi viene inviata una richiesta HTTP OPTIONS di preflight per verificare se la richiesta è consentita dal server. Il mio server non risponde co...

posta 27.08.2012 - 20:43

Domande con tag 'csrf'