Domande con tag 'csrf'

domande con tag
0
risposte

Il controllo origine CSRF fallisce al caricamento della pagina

Sto cercando di creare un filtro generico per molte applicazioni in cui lo sviluppatore dovrebbe specificare da che origini vogliono accettare le richieste e il mio filtro eseguirà un controllo di origine per impedire CSRF. Tuttavia, al caricame...
posta 02.02.2018 - 08:34
0
risposte

La Stateless CSRF di Paypal non è più compatibile con Express

La mia domanda è sulla soluzione stateless csrf paypals: link Questa soluzione csrf obbliga l'utente a inserire il token nell'intestazione. C'è un motivo di sicurezza per cui il token dovrebbe essere nell'intestazione? Se i dati richiest...
posta 13.03.2018 - 11:19
0
risposte

Differenza tra CSRF con flash e XHR?

Quando un sito web utilizza l'intestazione X-Requested-With nella richiesta, perché impedisce CSRF? Possiamo sfruttarlo, ma solo con csrf con file flash e un reindirizzamento? Perché? C'è un modo per sfruttarlo? Ti piace CSRF con XHR sem...
posta 01.10.2017 - 14:38
0
risposte

Oauth2 SSO con SAP che utilizza proxy

Ho un'applicazione singola pagina (lato client) che interagisce con una serie di API di back-end - l'architettura dei microservizi, per ottenere SSO, ho usato il protocollo Oauth2 (implementazione Spring). Ora, per evitare i rischi associati...
posta 28.01.2018 - 10:02
2
risposte

Sessioni ospiti e CSRF [duplicato]

Che cosa è considerata una pratica comune per limitare la scadenza della sessione per utenti non autenticati? Il motivo per cui utilizziamo una sessione per gli ospiti consiste nell'impedire le richieste di falsificazione di siti quando gli os...
posta 12.07.2017 - 23:13
3
risposte

In che modo CSRF è correlato alla stessa politica di origine

Sto cercando di capire quali ruoli svolgono CSRF e la stessa origine nel grande schema delle cose. Con CSRF, sono in grado di fare praticamente qualsiasi cosa su altri siti Web sui client effettuando delle richieste. SOP (Origin Origin Policy) c...
posta 10.04.2017 - 07:14
0
risposte

Vulnerabilità CSRF nell'applicazione Web Oracle ADF

Sto eseguendo il pentesting di un'applicazione web Oracle ADF. Una delle richieste di eliminazione di alcuni contenuti è costituita da parametri come _adf.ctrl-state e javax.faces.ViewState , che sembrano numeri casuali, attivi solo dur...
posta 23.10.2017 - 15:37
0
risposte

Come funzionano i token contraffatti di richiesta cross-site?

Qualcuno può spiegare come funzionano i token CSRF in termini semplici? Perché il token CSRF deve essere memorizzato in un cookie di sessione e in un campo modulo nascosto?     
posta 23.06.2016 - 09:29
1
risposta

Il sito Web non fornisce cookie (token csrf) durante la connessione tramite proxy. Perché come?

Il seguente codice Python deve prendere un token CSRF cookie da Instagram.com, ma ricevo un messaggio di errore quando eseguo il programma tramite qualsiasi tipo di proxy HTTPS o SOCKS5, informandomi che il cookie CSRF non è fornito. Se s...
posta 18.04.2016 - 13:45
8
risposte

Perché aggiornare il token CSRF per richiesta di modulo?

In molti tutorial e guide vedo che un token CSRF deve essere aggiornato per ogni richiesta. La mia domanda è: perché devo farlo? Non è un singolo token CSRF per sessione molto più facile che generarne uno per richiesta e tenere traccia di quelli...
posta 20.10.2012 - 13:15