Domande con tag 'csrf'

domande con tag
1
risposta

Come viene verificato il token CSRF?

Mi piacerebbe sapere come vengono verificati i token CSRF sul modulo submit? Per favore dimmi se il seguente è corretto: Il server emette una stringa casuale che viene impostata come cookie di sessione e un valore per il campo nascosto n...
posta 23.06.2016 - 16:27
1
risposta

CSRF token rubare

Mi sono imbattuto in questo link che indica come un utente malintenzionato potrebbe sfruttare il controllo di accesso per consentire a un origine di ottenere un token anti-CSRF: link Se il token dell'esempio precedente era un token monou...
posta 05.06.2014 - 16:27
2
risposte

Problemi di sicurezza nell'esempio del codice funzione "Ricordami"

Sono un principiante e questi possono essere molto ovvi per te, ma sto cercando di capire se ci sono problemi di sicurezza con questo esempio. Oggi su Stack Overflow, ho visto il seguente post: PHP Sessions Accedi con ricordami . La doman...
posta 09.08.2014 - 16:53
1
risposta

Come verificare l'intestazione di origine dell'intero server in IIS per impedire CSRF

Considerando che sono consapevole del fatto che il modello di sincronizzazione è l'approccio consigliato per prevenire gli attacchi CSRF, mi trovo in una situazione in cui sarebbe molto più rapido implementare il controllo dell'intestazione di o...
posta 09.06.2015 - 11:22
1
risposta

Come prevenire gli attacchi CSRF in due fasi?

Supponiamo di creare un token CSRF e di inserirlo in un modulo nella pagina sendmoney.php . Che cosa impedisce all'aggressore di inviare una richiesta a sendmoney.php per ottenere il token CSRF e quindi inviare il modulo? Qualche ide...
posta 28.10.2018 - 19:22
2
risposte

Perché la maggior parte delle applicazioni Web utilizza token CSRF come metodo di prevenzione, invece di convalidare tramite l'intestazione di origine?

Perché il token csrf è stato scoperto al primo posto? Si può sempre controllare dalla richiesta generata dall'intestazione di origine
posta 28.09.2018 - 10:54
1
risposta

In che modo Software Defined Perimeter (SDP) protegge da determinati attacchi che si verificano nel browser?

Ho svolto un po 'di ricerche su SDP (Software Defined Perimeter), ma mi è ancora un po' oscuro il modo in cui protegge da certi tipi di attacchi. Su Wikipedia si dice che può proteggere da questi attacchi: Scripting tra siti (XSS) cro...
posta 02.09.2018 - 22:55
2
risposte

Cosa fare riguardo alla vulnerabilità in un prodotto SaaS che compro?

Lavoro per un'università, dove faccio parte del team responsabile dell'integrazione di un sistema di gestione dell'apprendimento SaaS (ad esempio: Moodle, Canvas) con il resto dei sistemi dell'università. Due mesi fa, ho identificato un attac...
posta 28.11.2018 - 02:04
1
risposta

Mitigazione basata su token di intestazione di origine Vs

OWASP CSRF Prevention cheatsheet parla di due mitigazioni popolari per CSRF - Origin / Referrer controllo dell'intestazione e basato sul token. Ci sono problemi legati alla mitigazione basata sul controllo dell'origine / referrer che potreb...
posta 10.08.2018 - 02:35
1
risposta

Previene CSRF sul sito Web pubblico senza accesso

Sto lavorando a un progetto web che consente a una persona di inviare un modulo di richiesta alla mia API. Ogni visitatore può inviare una richiesta tramite tale modulo senza effettuare il login. Attualmente l'API genera un token quando la pa...
posta 20.04.2018 - 04:55