Domande con tag 'csrf'

domande con tag
1
risposta

come testare per csrf se l'applicazione web non sta usando token e non ci sono utenti definiti per quella applicazione?

Sto testando un'applicazione che non utilizza token anti-csrf per le sue richieste. Non ci sono utenti definiti per questa applicazione. Bene, in tal caso, come eseguire test per csrf in questa particolare applicazione?     
posta 12.06.2015 - 11:01
2
risposte

È considerato un CSRF se richiede un identificatore univoco che non è un token CSRF - non legato alla sessione utente?

Considera un punto finale come di seguito. Immaginiamo che questo endpoint aggiorni un indirizzo dell'utente che ha eseguito l'accesso, modificando il codice postale. L'indirizzo da aggiornare è identificato dall'ID dell'indirizzo ( kUj3Nkg10...
posta 29.11.2014 - 16:22
1
risposta

Perché Oauth2 redirect_uri può essere un URI non-https?

Sto costruendo un piccolo sito che vorrei integrare con LinkedIn per l'autenticazione. LinkedIn dice che redirect_uri può essere http: // o https: // (non dover pagare per un certificato è davvero fantastico in questo momento) Dopo aver esami...
posta 15.08.2014 - 00:30
1
risposta

Browser moderni, sicuri di ignorare CSRF?

Per gli utenti che utilizzano browser moderni, è sicuro assumere che non saranno in grado di essere dirottati tramite CSRF e simili? In caso contrario, quanto è probabile che un attacco possa aver luogo?     
posta 20.12.2014 - 18:48
1
risposta

Impedisci CSRF usando ViewState?

Secondo OWASP puoi prevenire CSRF in un'applicazione ASP.NET se si include il SessionID in ViewState. Dall'articolo: Viewstate can be used as a CSRF defense, as it is difficult for an attacker to forge a valid Viewstate. It is not impos...
posta 22.04.2014 - 01:33
1
risposta

gestisce il cookie di sessione-utente e il token csrf correttamente per l'app javascript

Ho un'app web django che serve endpoint api riposanti e un'app web javascript che comunica con questi endpoint tramite ajax. Sono sotto lo stesso dominio ma in diverse porte. server api ---- www.example.com:9000/api/endpoints web app ---- w...
posta 12.12.2013 - 22:48
2
risposte

È sicuro saltare gli assegni CSRF per i non-browser?

Ero nel mezzo dell'attuazione di un meccanismo di protezione CSRF per il mio server quando mi sono reso conto che questo attacco interessa davvero solo i browser web. Mi sono chiesto: perché dovrei preoccuparmi di generare / convalidare i token...
posta 27.06.2014 - 06:10
0
risposte

I token sensibili devono essere memorizzati in localStorage o in un cookie HTTPOnly?

Nel contesto di un'applicazione web ... i token sensibili, come quelli utilizzati per le sessioni, l'autenticazione e / o l'autorizzazione, devono essere memorizzati in localStorage o un cookie HTTPOnly; o sono entrambi approcci accettabili in...
posta 11.12.2018 - 08:55
3
risposte

Controlla le intestazioni di Referer e Origin in modo sufficiente per impedire CSRF, a condizione che le richieste con nessuno dei due vengano rifiutate?

È possibile prevenire CSRF controllando le intestazioni di origine e di riferimento? È adeguato, a condizione che le richieste con nessuno dei due siano bloccate?     
posta 25.04.2017 - 02:48
3
risposte

Devo utilizzare la protezione CSRF sugli endpoint di Rest API?

Nota rapida: questo non è un duplicato di Protezione CSRF con intestazioni personalizzate (e senza token di convalida) nonostante alcune sovrapposizioni. Quel post discute come eseguire la protezione CSRF sugli endpoint Rest senza discutere...
posta 03.08.2017 - 20:41