Domande con tag 'csrf'

domande con tag
1
risposta

Il token anti-CSRF protegge davvero da CSRF? [duplicare]

Ho letto su Internet che dovrei avere un token CSRF sulla mia pagina e questo lo proteggerà da CSRF. Tuttavia, posso immaginare uno scenario in cui l'anti-CSRF non è utile. La mia comprensione è sbagliata da qualche parte? Lo scenario sta s...
posta 12.08.2015 - 22:25
0
risposte

Problema di sintassi dello script XSS

Ho un server in esecuzione sulla porta 4444 su localhost che fa solo eco ai messaggi che riceve. Ho uno script JS incorporato in un messaggio che dovrebbe inviare i cookie a chiunque lo guardi. Ecco lo script: <script&g...
posta 12.10.2015 - 05:07
1
risposta

Come utilizzare un token per distinguere tra un utente loggato valido e un attacco?

Prendiamo l'esempio del mio già effettuato il login, per esempio, su LinkedIn. Quando accedo a LinkedIn su una nuova scheda, mi registra automaticamente (utilizzando le informazioni sui cookie). Ora, supponiamo che visiti un forum e attraverso u...
posta 05.03.2014 - 19:40
3
risposte

dovrei assegnare al token csrf un nome descrittivo?

Personalmente voglio chiamare l'elemento _DO_NOT_give_this_security_thingy_to_anybody_ever . Uno scenario di esempio è che alcuni ingegneri sociali intelligenti vogliono che l'utente esegua un malizioso "aggiungi un amico" e trovi il token C...
posta 06.08.2014 - 09:34
1
risposta

XSS e CSRF - differenza di base [duplicato]

Mentre l'intero metodo degli attacchi XSS e CSRF è totalmente diverso, la differenza principale è che: XSS - Esegue uno script su brwoser CSRF: invia una richiesta (HTTP) dal browser. È corretto (una risposta Sì o No sarà sufficiente)...
posta 16.06.2017 - 14:23
1
risposta

XSS - E-mail sospetta da Itunes - GF aperta accidentalmente

La mia GF ha ricevuto un'e-mail casuale da iTunes che diceva che aveva iniziato un nuovo abbonamento, è un'e-mail molto convincente fino a quando l'ispezione non sarà più approfondita. Comunque ha cliccato sul link in basso per cancellarlo e l'h...
posta 28.04.2017 - 16:46
2
risposte

CSRF ad alto livello

Ho fatto un po 'di dvwa (dannata applicazione web vulnerabile) e ho una domanda su CSRF. C'è un parametro aggiuntivo, un token csrf, che viene inviato nella richiesta get. Tutte le risposte che ho visto sul Web utilizzano xss per attivare la...
posta 08.11.2018 - 18:40
1
risposta

Hosting Token CSRF all'URL

Quando si implementa la protezione CSRF, in genere si utilizza un cookie CSRF che deve essere incluso nel corpo della richiesta. Ciò impedisce gli attacchi CSRF perché il sito Web dannoso non può leggere i cookie di altri siti Web. Significa...
posta 24.06.2016 - 23:26
1
risposta

Meccanismo di sicurezza per il checkout rapido (senza cookie / id di sessione)

Sto implementando un checkout rapido nel mio e-store. Il cliente deve solo inserire l'e-mail e il numero di telefono per effettuare un ordine, il sistema controlla se il cliente con tali campi è già registrato, altrimenti non si registra auto...
posta 11.11.2016 - 21:14
1
risposta

Token nelle modifiche URL al clic [chiuso]

Entrando nell'amministrazione di OpenCart, trovo un token nel suo URL: http://localhost/opencart/admin/index.php?route=common/dashboard&token=xOHq2UzQ0YwKTubXgxNpGFySmAA9W90z Il modello di token del sincronizzatore è implementato in Ope...
posta 29.12.2015 - 16:33