Domande con tag 'csrf'

2
risposte

Domanda di sicurezza JWT e CSRF TOKEN

Supponiamo di aver creato un sito Web che in ogni richiesta di API consente di inviare token JWT e token CSRF. Quindi creiamo un caso del genere: Sono connesso all'utente A e faccio una richiesta ajax all'API con token JWT e CSRF. Vado in ret...
posta 16.03.2017 - 18:18
1
risposta

La CSRF è possibile contro un download PDF che richiede l'autenticazione dei cookie?

Un sito su cui lavoro ha un link che scarica e apre un PDF contenente dati utente sensibili. Il cookie di autenticazione dell'utente viene controllato sul lato server per garantire che abbiano accesso ai dati prima di generare e servire il PDF....
posta 24.10.2017 - 15:59
1
risposta

Come inviare una richiesta di posta dove è necessario effettuare l'accesso?

Prima di tutto, questo è in sicurezza delle informazioni perché la richiesta potrebbe essere vulnerabile se riesco a capire come eseguirlo. In secondo luogo, il problema reale. Ho intercettato e copiato una richiesta di post su un sito di soc...
posta 23.01.2017 - 04:47
1
risposta

Come convalidare il token CSRFGuard sul lato server?

Ho implementato la libreria OWASP CSRFGuard per proteggere la mia applicazione dagli attacchi CSRF. Sto utilizzando il file JavaScript CSRFGuard e il servlet per iniettare i token CSRF in tutte le richieste Ajax. Finora vedo che il token è stato...
posta 30.12.2016 - 19:00
1
risposta

Perché Google non blocca la disconnessione CSRF?

Google è un esempio famoso di non che blocca CSRF su logout / logoff pages. Some vulnerability reporters contact us about the ability to log out Google users by navigating their browser to a particular URL. In some ways, this behavi...
posta 13.10.2016 - 01:18
1
risposta

I servizi Web sono vulnerabili a CSRF?

Sto testando un'applicazione Android, utilizza i servizi Web per ogni azione, quindi ho visto le richieste non hanno token o un altro meccanismo di anti-automazione, hanno solo bisogno di convalidare un token per identificare la sessione, quindi...
posta 16.04.2016 - 04:49
1
risposta

Problemi di sicurezza dell'eco echo HTML

Considera un sito Web con un endpoint che, quando un payload di una stringa HTML (documento completo o segmento parziale) è POST, il server trasformerà il payload (e talvolta nessuna trasformazione viene applicata) e restituirà la versione trasf...
posta 20.01.2016 - 23:23
1
risposta

Esci Protezione CSRF [duplicato]

Sto facendo un CMS e ho una protezione CSRF nelle impostazioni, nuovo articolo. Devo inserire questa protezione anche nel logout?     
posta 27.12.2015 - 21:56
1
risposta

Pattern token crittografato CSRF: necessità di 'nonce'?

Per il modello di token crittografato anti-CSRF, la pagina OWASP descrive il token crittografato come composto da tre elementi: l'ID dell'utente, un valore di timestamp e un nonce. La necessità programmatica per i primi due è ovvia, ma per...
posta 12.11.2015 - 21:38
2
risposte

CSRF manipolando le intestazioni HTTP dal lato client utilizzando JavaScript

Sto cercando di eseguire un'analisi di vulnerabilità CSRF per il mio sito web. Il mio sito Web utilizza un token anti-CSRF che viene inviato dal server al client con il cookie di sessione e quindi Javascript nel client lo elimina dal cookie e lo...
posta 18.09.2015 - 12:41