Domande con tag 'csrf'

domande con tag
2
risposte

In che modo l'invio di intestazioni HTTP del referrer protegge dagli attacchi CSRF?

In che modo l'invio di intestazioni HTTP di referrer protegge dagli attacchi CSRF? Ho provato ad accedere a un sito HTTPS con Firefox network.http.sendRefererHeader impostato su 0 (cioè, completamente disabilitato, come misura contro il tra...
posta 02.09.2016 - 00:48
1
risposta

come possiamo trovare la vulnerabilità CSRF in un sito web?

Ho sentito che non ci sono strumenti specifici disponibili per testare e scoprire la vulnerabilità CSRF di un sito web. Quindi, da un punto di vista dei tester di sicurezza, come testare la vulnerabilità di CSRF?     
posta 18.09.2014 - 07:19
1
risposta

Prevenzione CSRF per servizi RESTful

Ho ragione Se rivendico che non esiste alcuna protezione affidabile contro CSRF per un ambiente di Stateles oggi? Ho un servizio RESTful (build con RESTEasy) che deve essere protetto dagli attacchi CSRF. Ho cercato su google per la prevenzione C...
posta 09.09.2013 - 19:53
3
risposte

Utilizzo sicuro di JWT con protezione CSRF e token di aggiornamento

Sto implementando i JWT nella mia app e mi piacerebbe renderli il più sicuri possibile. Preparerò tutto ciò che sto pianificando, apprezzerei molto qualsiasi suggerimento sulla sicurezza di questa implementazione. Questo è il mio sito, ho pieno...
posta 13.08.2016 - 01:49
4
risposte

Protezione CSRF necessaria per i clienti che non accettano i cookie?

Recentemente ho aggiornato un sito Web da Django 1.0 a 1.3. Una delle modifiche introdotte è stata protezione automatica contro gli attacchi CSRF . Per la maggior parte, funziona alla grande, ma ho un problema con i clienti che per qualche moti...
posta 07.11.2011 - 11:42
2
risposte

Perché il controllo dei referer è necessario per Django per prevenire CSRF

Oggi ho appreso che la protezione CSRF di Django utilizza il controllo di intestazione (r) er in aggiunta al controllo di un campo modulo nascosto contro un cookie. Sembra essere importante, a giudicare dai documenti e dal problema in basso....
posta 06.08.2015 - 21:53
1
risposta

Quando dovrei generare un nuovo token CSRF

Sto costruendo un metodo di prevenzione CSRF nel nostro framework applicativo. Io uso, tra l'altro, il sito OWASP . Abbiamo scelto il meassure di prevenzione "Double Submit Cookies", descritto al OWASP Scheda cheat CSRF Gli stati del ch...
posta 15.12.2014 - 21:40
1
risposta

CSRF in ASP.NET

C'è questo modulo ASP.NET "change password" che ha sia la convalida degli eventi sia il viewstate abilitato. Non ci sono token anti-csrf specifici. Da quanto ho capito, al fine di eseguire un attacco CSRF di successo, un utente malintenzionato d...
posta 15.12.2014 - 11:57
2
risposte

Come github.com implementa la mitigazione di CSRF

Ho esaminato di recente CSRF . La strategia di mitigazione raccomandata è quella di implementare il Pattern token di sincronizzazione . Quando guardi i dettagli, viene fuori la domanda con quale frequenza questi token devono essere cambiati...
posta 19.10.2015 - 18:09
3
risposte

Quali sono le implicazioni del rischio di non verificare l'intestazione del referer sul modulo di accesso?

Immagina un'applicazione web generica con un modulo di accesso per accedere all'applicazione. Indipendentemente da come viene eseguita l'autentica autenticazione, quali sono le implicazioni di non controllare l'intestazione del referente per ver...
posta 17.04.2013 - 20:55