Domande con tag 'csrf'

domande con tag
0
risposte

Come sfruttare un XSS POST richiesto in presenza di una protezione CSRF sul sito web? [chiuso]

Supponendo che il carico utile sia: <script>alert(1)</script> tuttavia sembra che la protezione CSRF mi impedisca di dirottare la sessione degli altri utenti, c'è un'altra possibilità?     
posta 21.06.2017 - 15:09
0
risposte

Sicuro di avere un endpoint API RESTful specifico senza token CSRF?

Ho un'API RESTful. Esistono due modi per autenticarsi: un modello utente / basato su password e OAuth2. Sebbene gli utenti con autenticazione utente / password possano effettuare richieste a questo specifico endpoint API, vengono rifiutati ne...
posta 16.03.2017 - 05:14
0
risposte

È possibile utilizzare un token CSRF come identificativo di sessione anziché come cookie?

Qualcuno ha posto la stessa domanda qui: Dovrebbe token CSRF senza sessione lavoro sui cookie? ma le persone che rispondono sembrano incerte. Quindi, perché qualcuno ha bisogno di un cookie se utilizza un token incorporato in un modulo? Sono e...
posta 19.11.2016 - 04:35
2
risposte

Come viene determinato JSESSIONID in questo test CSRF?

Sto lavorando alla verifica della protezione CSRF per una delle nostre applicazioni web. Abbiamo un caso di test come il seguente: <!DOCTYPE html> <html> <head> </head> <body> <form action="...
posta 23.05.2016 - 21:32
0
risposte

Le azioni del portlet WebSphere sono sempre protette da CSRF

Ho notato che il contenitore del portlet WebSphere genera URL di azione contenenti un ID, che sembrano cambiare ogni volta che ricarico la pagina. Solitamente gli URL di azione vengono utilizzati come obiettivi di invio dei moduli. Esempi:...
posta 27.07.2016 - 08:12
0
risposte

Va bene aggiungere un token sincronizzato CSRF modificando HTML da una valvola / filtro?

Va bene modificare l'html e aggiungere un campo nascosto contenente il token CSRF a tutti i moduli all'interno di una pagina usando una valvola o un filtro prima di andare al browser? Sto pensando a questa linea dal momento che voglio rimuove...
posta 03.07.2015 - 11:15
1
risposta

Gestione dei token CSRF su pagine più lunghe del limite della sessione PHP

Ho una pagina aperta (ovvero non richiede il login) e consente agli utenti di dare un rapido feedback. Questa pagina è disponibile su un singolo PC o tablet condiviso. Il modulo stesso ha un token CSRF su di esso. Il problema è che il tempo t...
posta 01.07.2015 - 17:22
4
risposte

Protezione CSRF con intestazioni personalizzate (e senza token di convalida)

Per un REST-api sembra che sia sufficiente controllare la presenza di un'intestazione personalizzata per proteggersi dagli attacchi CSRF, ad es. client invia "X-Requested-By: whatever" e il server controlla la presenza di "X-Requested-By"...
posta 30.10.2012 - 10:59
4
risposte

Protezione CSRF con intestazioni personalizzate (e senza token di convalida)

Per un REST-api sembra che sia sufficiente controllare la presenza di un'intestazione personalizzata per proteggersi dagli attacchi CSRF, ad es. client invia "X-Requested-By: whatever" e il server controlla la presenza di "X-Requested-By"...
posta 30.10.2012 - 10:59
0
risposte

Esiste una vulnerabilità di sicurezza per consentire tutte le origini CORS se l'origine della richiesta corrisponde a un modello?

Originariamente richiesto a: link Avevamo il requisito di consentire le richieste di origine incrociata a condizione che l'origine fosse parte del dominio aziendale. Sebbene questa domanda non sia specifica per C # o API Web, i frammenti se...
posta 09.04.2015 - 01:26