Domande con tag 'csrf'

domande con tag
2
risposte

Perché Double Submit Cookies richiede un cookie separato?

In base al link : When a user authenticates to a site, the site should generate a (cryptographically strong) pseudorandom value and set it as a cookie on the user's machine separate from the session id. (sottolineatura mia) Perché il...
posta 16.06.2014 - 05:36
2
risposte

I siti RESTful sono sicuri contro gli attacchi CSRF?

Sto avendo un dibattito con un collega per sapere se il nostro sito è vulnerabile agli attacchi CSRF. Sta dicendo che dal momento che stiamo usando richieste RESTful AJAX per tutto ciò che CSRF non è possibile. Di 'una richiesta di aggiornamento...
posta 18.09.2013 - 22:37
3
risposte

Come dovrebbe rispondere una pagina web a un attacco CSRF?

So che usi token per prevenire CSRF, ma come dovrebbe rispondere la pagina ricevente quando viene attaccata? Se fallisce silenziosamente, fingere che la transazione abbia avuto successo? Mostra un messaggio di errore? Registra l'attacco? Spie...
posta 28.10.2011 - 07:48
3
risposte

CSRF con JSON POST quando Content-Type deve essere application / json

Sto testando un'applicazione web per cui vengono eseguite le azioni aziendali inviando richieste JSON come ad esempio: POST /dataRequest HTTP/1.1 Host: test.com User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:55.0) Gecko/20100101 Firefox/...
posta 01.10.2017 - 18:53
1
risposta

Stato attuale del cookie SameSite

Recentemente ho avuto modo di conoscere l'attributo del cookie SameSite che viene utilizzato per mitigare gli attacchi CSRF. L'attributo AFAIK SameSite per i cookie è implementato in Chrome e in altri browser. Poiché sto utilizzando il server To...
posta 13.06.2018 - 08:18
2
risposte

Protezione CSRF per AJAX quando si utilizzano più schede del browser

Diciamo che ho quell'applicazione web che ha una protezione CSRF secondo Pattern token di sincronizzazione . Il server si aspetta un token CSRF valido in ogni richiesta POST quando l'utente è autenticato. Ora immagina il seguente scenario:...
posta 12.11.2012 - 09:04
3
risposte

problemi di sicurezza nello storage JWT

Sto creando un meccanismo di accesso JWT per un sito. Ci sono due opinioni molto opposte su come conservare il JWT. Stormpath giura tramite cookie httponly: link Auth0 swear by localStorage: link All'inizio mi sono schierato con Auth0,...
posta 12.01.2017 - 13:41
2
risposte

fogli di stile personali

In riferimento a questa domanda , stavo ricercando se ci sarebbe stata o meno qualche sicurezza rischi nel consentire agli utenti di aggiungere i propri fogli di stile. Visualizza uno scenario in cui un dev può utilizzare le posizioni per so...
posta 15.12.2015 - 06:23
2
risposte

Le app del telefono sono vulnerabili a XSS o CSRF? (Webview, PhoneGap, Chrometab)

Devo fornire la prova che CSRF o XSS è possibile su un telefono ... utilizzando PhoneGap, una Webview, o in particolare una "Scheda Chrome" o equivalente iOS. Credo che in teoria sia possibile, e la mitigazione è necessaria, ma stiamo cercand...
posta 07.06.2015 - 04:06
4
risposte

Il token anti-CSRF può impedire l'attacco bruteforce?

Non ho molta esperienza con attacchi di forza bruta ma mi stavo chiedendo Supponiamo che tu abbia un sito web www.example.com e tu voglia fare un attacco di forza bruta su quel modulo di login ma quel modulo di login è protetto dal token an...
posta 21.09.2014 - 05:05