Domande con tag 'csrf'

domande con tag
1
risposta

Perché i token di sincronizzazione e i pattern da cookie a intestazione non sono naturali per le API Web?

Ho sentito che le tecniche di prevenzione CSRF non sono naturali per le API Web. Ad esempio, potremmo avere un'applicazione client su domainA che implementa sia il il Pattern token di sincronizzazione che il Cookie-to -Disegno della persona...
posta 29.09.2016 - 19:40
1
risposta

Anti-token CSRF con una scatola nera

Considera un'app sviluppata che utilizza qualcosa come la libreria OWASP CSRFGuard. Cosa si può fare per proteggere da XSS se l'app chiama un'app di black box di terze parti che non ha modo di archiviare e restituire il token quando il controllo...
posta 09.06.2016 - 23:00
2
risposte

sfruttando CSRF in richiesta Ajax tramite difetto XSS

In un'applicazione che sto testando, c'è un difetto XSS memorizzato. Ora, stavo testando CSRF e ho costruito una pagina HTML con un javascript che inviava la richiesta Ajax (XHR). Ha causato una richiesta di pre-volo e quindi il browser dice che...
posta 02.06.2016 - 16:08
2
risposte

Serve aiuto per capire le vulnerabilità di OWASP [chiuso]

Sto facendo un white paper sulla semplificazione delle vulnerabilità di OWASP 10 sulla base di un articolo suggerito dai nostri insegnanti. Ragazzi, potete aiutare o fornire più risorse qui? Quali sono le tue opinioni? Mi piacerebbe intervistare...
posta 07.07.2016 - 13:08
1
risposta

L'HTTPS protegge dalla sessione?

In una tipica sessione di session riding , l'hacker induce la vittima a inviare una richiesta HTTP a un sito Web a cui è già stato effettuato l'accesso. Ad esempio, l'inganno della vittima fa clic su un link per attivare un attacco CSRF. Il bro...
posta 20.07.2016 - 17:48
1
risposta

La condivisione di un token CSRF tra le app Rails è sicuro?

Usiamo un reverse proxy nginx per ospitare due app Rails nello stesso dominio (un /path porta a un'altra app 'secondaria'). L'app "secondaria" che vive sotto un percorso consuma API REST dall'app "principale" sul dominio con un'applicazi...
posta 17.08.2015 - 19:33
1
risposta

L'intestazione personalizzata per la protezione CSRF annulla la protezione CSRF

Un test di penetrazione è ordinato su uno dei siti web. Ho implementato OWASP CSRF Guard sul sito web. Usa intestazioni personalizzate per la protezione CSRF per AJAX. Questo è stato contrassegnato con un messaggio soggetto. Nessuna spiegazione...
posta 19.08.2015 - 18:02
1
risposta

Quali fattori rendono il codice dell'app Android vulnerabile agli attacchi di contraffazione di richieste tra siti?

In base a techtarget.com Il falso della richiesta tra siti è: a method of attacking a Web site in which an intruder masquerades as a legitimate and trusted user. An XSRF attack can be used to modify firewall settings, post unaut...
posta 23.05.2015 - 00:30
1
risposta

CSRF Guard: inietta token nella richiesta POST?

Ho implementato CSRF Guard nella mia applicazione web. Funziona bene per le richieste GET (con AJAX e senza AJAX), tuttavia per il token di richiesta POST non viene iniettato nella richiesta, ecco perché la guardia CSRF lancia un'eccezione: To...
posta 20.12.2014 - 13:38
1
risposta

CSRF Guard: può proteggere anche le chiamate di servizio?

Sto implementando la protezione CSRF nella mia applicazione web. Ho fatto tutta la configurazione richiesta e posso vedere il token generato / iniettato nell'intestazione della richiesta. Permettetemi di dirvi un po 'l'architettura dell'appli...
posta 16.12.2014 - 14:50