Domande con tag 'csrf'

domande con tag
2
risposte

Metodo POST Aiuto Anti-CSRF con Burp Suite

Sto testando un'applicazione web e incontrando i token anti-CSRF all'interno di moduli che ostacolano i tentativi di fuzzing con l'intruso di Burp Suite. Un token anti-CSRF appare come csrf-token all'interno di un meta campo HTML. Alla present...
posta 17.10.2018 - 03:40
2
risposte

Posso inserire il token di sessione nel corpo per proteggerlo da CSRF? [duplicare]

Dire che ho un utente con un token di sessione associato. Questo utente vuole cancellare il suo account, e così va al suo link associato. Io, cercando di proteggere me e i miei utenti dagli attacchi CSRF, è così quando l'utente fa clic su un c...
posta 06.09.2018 - 04:30
2
risposte

XMLHttpRequest CSRF non riesce con CORS consentito

Al momento sto lavorando a un PoC per un attacco CSRF, che dovrebbe essere possibile a causa della lassità della configurazione di CORS. Ho il permesso di attaccare. Ora il codice seguente dovrebbe inviare una richiesta OPTIONS, che include t...
posta 21.09.2018 - 09:36
2
risposte

CSRF con un'API JSON CORS [duplicato]

Abbiamo api.example.com che comunica con app.example.com, un'app Android nativa e un'app iOS. Vogliamo consentire ad altre terze parti di comunicare con l'API anche se lo desiderano, e come tale abbiamo Access-Control-Allow-Origin: * head...
posta 15.01.2018 - 15:11
1
risposta

Verificherà le intestazioni di origine e di riferimento per le richieste valide del blocco di protezione CSRF?

Se il controllo dell'intestazione di origine e di riferimento per è seguito il foglio cheat OWASP CSRF , le richieste valide saranno bloccate (ignorando la parte token del consiglio per questa domanda)? Ho visto alcuni riferimenti al fatto che...
posta 06.06.2017 - 11:20
1
risposta

Mi mancano alcune lacune con la mia attuale gestione delle sessioni?

Sto costruendo un sito con Spring, che richiede l'autenticazione per accedere ad alcune pagine. Il sito è in realtà composto da un host client, che esegue il rendering delle viste e gestisce l'associazione dati e un host RIP API (creato anche...
posta 28.03.2017 - 21:17
3
risposte

Cookie crittografato per prevenire attacchi csrf

Per prevenire gli attacchi CSRF la creazione di un cookie crittografato con un nonce impedisce un attacco CSRF? Inoltre, a quella verifica il referrer contro l'origine del bersaglio. Non riesco a modificare migliaia di pagine per incorporare il...
posta 15.11.2016 - 22:45
1
risposta

Ho bisogno del token CSRF e di come mi aggiunge protezione aggiuntiva (Angular / Node SPA)

Stavo leggendo su XSRF e mi piacerebbe assicurarmi di aver compreso correttamente il problema e sapere se la mia applicazione è protetta da quel tipo di attacco. Come comprendo CSRF funziona: aggiungendo una stringa casuale (?) che viene...
posta 03.08.2016 - 12:47
1
risposta

Token CSRF in applicazioni a pagina singola (JavaScript / angolare)

Possiedo una SPA AngularJS servita da Apache su un host web economico. Tutta la comunicazione verso il back-end avviene tramite le chiamate Ajax REST verso un costoso server cloud che esegue Tomcat. In che modo le chiamate REST possono essere pr...
posta 04.12.2015 - 06:50
3
risposte

C'è qualche pericolo da CSRF se un webservice non ha alcun impatto sui dati del server?

Ho letto su CSRF e come funziona, e, se ho capito bene, l'unica cosa che un utente malintenzionato può fare è costringere l'utente a compiere azioni che non intendeva. Comprendo il pericolo se disponiamo di un servizio come / moneytransfer? d...
posta 10.11.2015 - 14:30