Domande con tag 'csrf'

domande con tag
4
risposte

Rischi per la sicurezza diversi da quelli [chiuso]

Sto lavorando sul sito Web MVC principale di ASP.NET e non so se mi mancano i rischi per la sicurezza di cui devo fare attenzione (diversi da quelli logici) Ecco un elenco di ciò che ho studiato e di ciò che ho fatto per proteggerlo: Man...
posta 17.05.2017 - 19:14
1
risposta

I token CORS e CSRF sono solo per le richieste POST e GET? [chiuso]

Ho le seguenti domande su CSRF, SOP e CORS. I token CSRF proteggono solo l'invio di moduli con metodi POST o GET? Si tratta solo di una "pratica comune" (riguardo al fatto che solo le richieste di moduli sono vulnerabili come ad esempio POS...
posta 14.05.2018 - 11:43
2
risposte

Comprensione di prevenzione CSRF

Stavo cercando informazioni sugli attacchi CSRF e sto pensando al concetto di prevenzione "token di forma casuale". Diciamo che ogni form ha un "token nascosto" all'interno e il server controlla il token prima di ogni altra cosa. Ora diciamo...
posta 21.02.2014 - 13:29
3
risposte

Come funziona (remoto) XSS (in CSRF)?

Ho appena letto un articolo su CSRF e menziona 3 vettori di attacco; XSS, collegamenti manipolati e un exploid locale. Considerando che gli ultimi due metodi sembrano essere possibili (per me), sono abbastanza insicuro, su come l'XSS svolgerà...
posta 03.11.2016 - 08:42
1
risposta

Come faccio a essere sicuro che l'utente autenticato esegua un'azione?

Nella mia app (e nel sito Web) un utente accede con la propria e-mail per eseguire azioni come fare un commento sul sito Web sotto il loro nome. Ovviamente è importante che le persone malintenzionate non possano fingere di essere questo utente e...
posta 30.11.2017 - 06:45
4
risposte

Meccanismo di protezione CSRF personalizzato senza token persistenti

Ho avuto questa funzionalità (protezione csrf) da un po 'di tempo. La cosa che non mi è mai piaciuta è che ha salvato i token csrf nel file di sessione. Anche se potrebbe non essere un problema reale, lo vedo come un dolore perché alla fine i to...
posta 29.05.2015 - 21:31
2
risposte

Questo schema anti-contraffazione è sicuro?

Per prevenire gli attacchi di falsificazione delle richieste cross-site, sto considerando il seguente schema: Per ogni utente, memorizza una chiave casuale. Se l'utente invia informazioni "pericolose", include un token di sicurezza e una data...
posta 20.03.2014 - 21:11
3
risposte

CSRF possibile se i parametri non vengono passati attraverso la stringa di query?

Leggevo la pagina di OWASP su CSRF e nel loro esempio che usano una richiesta in cui i parametri sensibili sono memorizzati nella stringa di query: http://bank.com/transfer.do?acct=MARIA&amount=100000 Sul mio sito faccio una richiesta...
posta 21.08.2013 - 19:37
1
risposta

Come posso evitare richieste dalla console del browser mentre utilizzo ancora ajax? [duplicare]

Ho un endpoint API pubblicamente disponibile. Devo impedire a un semplice script $ .ajax di scaricare tutti i dati esposti in pochi secondi e di forzare almeno una pagina ad aggiornare ogni volta che una nuova richiesta vuole essere inviata. A...
posta 20.10.2017 - 22:48
2
risposte

E 'un vero attacco CSRF?

Ho risolto un'applicazione di moduli web asp.net che presenta una serie di vulnerabilità scoperte da un'azienda esterna di test delle penne. Recentemente ho implementato un doppio cookie di invio con la libreria di asp.net AntiForgery. Inoltr...
posta 15.12.2017 - 01:24