Domande con tag 'csrf'

domande con tag
2
risposte

Cookie di terze parti e CSRF

I cookie di terze parti aprono la possibilità di CSRF dove potrebbe non esistere? Stavo consultando un post del blog e un Bozza IETF sui cookie same-site che fanno sembrare che i cookie di terze parti potrebbero fai succedere la CSRF. La...
posta 13.01.2017 - 17:07
2
risposte

Ottenere il carico utile in Burp intruso in modo dinamico dal sito web

Ai fini della mia tesi, ho bisogno di trovare la combinazione nome utente / password su un determinato sito web. Ho provato a farlo usando Hydra ma ho fallito miseramente a causa di un valore nascosto del modulo, che cambia ogni volta che l'uten...
posta 31.08.2016 - 23:54
1
risposta

I cookie solo Https sono vulnerabili agli attacchi CSRF?

Data la situazione ipotetica: Un utente accede al suo sito web bancario Il server restituisce un cookie solo Http contenente l'id dell'utente, crittografato. A ogni richiesta (come nel caso del trasferimento di fondi), il server decritto...
posta 07.11.2016 - 17:17
2
risposte

Il Big-IP ASM di F5 può proteggere contro CSRF per le chiamate AJAX?

So che l'ASM Big-Ip di F5 offre protezione contro CSRF su collegamenti e moduli. Tuttavia, quando si tratta di chiamate AJAX, la loro documentazione è alquanto ambigua. Comprendo che NON supportano CSRF nel contesto delle chiamate AJAX, ma no...
posta 08.01.2016 - 14:56
1
risposta

Sfruttare la richiesta PUT CSRF

Se l'applicazione utilizza la comunicazione RESTful, è necessario avere una protezione CSRF per le richieste PUT e DELETE? Per quanto ne so non è possibile attivare una richiesta PUT utilizzando JavaScript e quindi vorrei sapere se c'è uno sfrut...
posta 21.11.2015 - 10:44
3
risposte

Serve aiuto per capire il meccanismo di autenticazione di Windows

Anche se imposto HTTPS e utilizzi token anti-contraffazione, sembra che l'autenticazione di Windows possa essere intrinsecamente insicura perché non richiede che l'utente trasmetta esplicitamente le credenziali dal client al server. In ambien...
posta 23.09.2015 - 13:41
3
risposte

Il token CSRF senza cookie di sessione dovrebbe funzionare?

Diciamo che il sito Web esempio.com ha una protezione CSRF. Invia un token CSRF in un'intestazione personalizzata e in campi di input nascosti. Ad esempio per aggiungere una nuova cartella, la tua richiesta http deve contenere un token CSRF....
posta 07.02.2015 - 17:13
2
risposte

Devo usare un token CSRF per pagina o per modulo?

È sicuro utilizzare un token CSRF per modulo sulla mia pagina, ad esempio: <form> <input type="hidden" name="token" vale="<?=$data['login_token'];?>" />" </form> <form> <input type="hidden" name="token"...
posta 09.05.2016 - 21:08
3
risposte

Verificando il token CSRF sull'intestazione e il modulo nascosto sarà sufficiente?

Da ciò che ho letto qui , i token CSRF dall'intestazione del cookie non possono essere letto a causa della politica della stessa origine. Sta comparando il token CSRF sull'intestazione del cookie con l'elemento nascosto del modulo? Con qu...
posta 09.10.2014 - 16:17
1
risposta

L'acronimo CSRF si riferisce a token o all'attacco stesso?

Sono davvero confuso da cosa sia CSRF. So che è sinonimo di falsificazione delle richieste tra i siti. link Quando lo leggi qui, si parla di un attacco di contraffazione della richiesta cross site. Ma a volte le persone lo usano per riferir...
posta 22.08.2014 - 17:53