Domande con tag 'csrf'

domande con tag
0
risposte

Pagamento automatico tramite Paypal tramite API

Sto costruendo un gioco simile a trivia HQ, che quando qualcuno dà tutte le risposte corrette alla fine del gioco riceve denaro sul suo account Paypal, la mia preoccupazione è ovviamente la sicurezza. Il gioco invierà una richiesta HTTPS a un...
posta 06.10.2018 - 10:56
0
risposte

Protezione CSRF e App per pagina singola su host S3 (senza back-end).

Ho una webapp scritta in js che gira su AWS S3. Non c'è modo di inizializzare un token CSRF sicuro al caricamento della pagina poiché non esiste un server di back-end. Il token deve essere recuperato tramite una chiamata AJAX al mio server API s...
posta 28.08.2018 - 01:45
1
risposta

Test CSRF. Errore di convalida 422. Locale richiesto

Quindi sto testando questo sito per corsi e penso che potrebbe essere vulnerabile CSRF tuttavia, quando provo a fare una richiesta di post ottengo un errore di convalida che dice che "locale" è richiesto nonostante io specificandolo nella richie...
posta 22.08.2018 - 18:15
2
risposte

Cosa fare dopo aver rifiutato un token CSRF non valido?

Sto implementando la protezione CSRF (usando la libreria CSRF di Symfony), e mi chiedo quale risposta inviare ai client dopo aver ricevuto un token non valido. Attualmente abbiamo una sessione che dura 30 giorni e vorremmo che il token CSRF s...
posta 22.03.2018 - 16:55
1
risposta

In quale modo specifico dovrei implementare la protezione CSRF?

Ci sono un sacco di articoli che spiegano cos'è CSRF e che dovrei usare un token CSRF per prevenire CSRF. Alcuni di loro menzionano dettagli come l'utilizzo di SHA256 su MD5. Tuttavia, nessuno di essi spiega come implementare la protezione CSRF...
posta 08.03.2016 - 19:22
0
risposte

In che modo è possibile / salvare un nome utente / password in un browser Web essere una minaccia per gli attacchi CSRF?

In un recente corso di certificazione online, l'istruttore ha indicato in particolare "Non salvare nome utente / password nel browser" come strategia di mitigazione CSRF (tra gli altri). Capisco perché memorizzare le password su un brow...
posta 31.01.2018 - 16:38
1
risposta

Perché sono permesse le richieste POST tra domini? [duplicare]

Capisco che la buona pratica è usare i token per prevenire CSRF, ma perché i browser consentono le richieste POST cross-site in primo luogo? Sembra che dare alle parti non fidate un libero accesso in scrittura al tuo server sia una cattiva ide...
posta 11.06.2018 - 05:50
1
risposta

Token CSRF nei cookie?

Ho visto alcuni siti Web utilizzare token CSRF nel campo dei cookie come _csrf=123abc e non come intestazione separata o come parte dei dati POST. La mia domanda è, quando il sito web di un utente malintenzionato effettua una richiesta CSRF...
posta 04.04.2018 - 22:55
0
risposte

Protezione di un topi-token con solo l'autenticazione dei cookie

Ho una pagina web che fornirà un oggetto JSON di un topi-token se viene fornito un cookie di sessione valido di un utente connesso. Se un utente malintenzionato ottiene questo topi-token, ora ha il pieno controllo su quell'utente fino alle autor...
posta 14.03.2018 - 22:58
0
risposte

È sicuro implementare l'autenticazione JWT con i cookie, il controllo delle versioni dei token e nessun token di aggiornamento?

Ho alcune domande sulla mia implementazione della sicurezza del token bearer (JWT per essere precisi) in un progetto di asp.net core 2.0 su cui sto lavorando. Il token al portatore viene utilizzato quando l'app web frontend parla con un Api sepa...
posta 09.01.2018 - 14:04