Domande con tag 'csrf'

domande con tag
1
risposta

Autenticazione API REST con protezione JWT e CSRF per SPA

Sto sviluppando una SPA con il back-end REST e voglio avere una semplice autenticazione basata su token. L'obiettivo di REST è di essere apolidi. Spiegherò il modello di sicurezza e cercherò di fare riferimento a tutte le fonti per le decisioni...
posta 21.02.2017 - 13:10
2
risposte

Cosa succede se il mio token anti-CSRF è compromesso da un attacco XSS?

L'interessante domanda Stack Overflow "I cookie proteggono i token dagli attacchi XSS?" è stato chiuso come troppo ampio, ma come menzionato in un commento su di esso, esiste una domanda tangibile su "Cosa succede se il mio token anti-CSRF vie...
posta 11.01.2018 - 05:34
3
risposte

Richiesta GET e POST vulnerabile all'attacco CSRF?

Le richieste GET e POST sono vulnerabili a CSRF? Dovremmo invece usare PUT?     
posta 25.05.2015 - 05:41
1
risposta

Perché JS di CSRF non può leggere il token tramite GETting html

1) L'utente è registrato in bank.com in una scheda, dove tutto è protetto dai token CSRF. Quindi apre evil.com in un'altra scheda. 2) Javascript in evil.com potrebbe provare a fare una richiesta POST a bank.com/send_money solo se sapesse csrf...
posta 27.06.2014 - 12:54
2
risposte

La prevenzione CSRF impedisce anche l'attacco XSS riflesso?

Quello che ho capito su XSS riflesso è ... When a web application is vulnerable to this type of attack, it will pass unvalidated input sent through requests back to the client... [1] Supponendo che la mia webapp abbia una convalida CSR...
posta 27.08.2014 - 10:08
1
risposta

token anti-CSRF in ambiente HTTPS

Ha davvero senso usare i token anti-CSRF in un'applicazione web a cui si accede solo tramite HTTPS? Se sì, quali sono i modi possibili per attaccare una tale applicazione Web se i token anti-CSRF sono assenti?     
posta 10.01.2012 - 21:45
1
risposta

L'attributo Same-Site di un cookie è lassista come non impostare l'attributo Same-Site?

La domanda è nel titolo. Se ci sono differenze, quali sono?     
posta 29.08.2017 - 00:07
1
risposta

Alternativa ai token anti-CSRF per la richiesta AJAX (Same Origin Policy)

Sto lavorando su un sito Web PHP interamente basato su AJAX (tramite jQuery). È una singola pagina in cui tutte le richieste sono fatte da AJAX. In relazione alla protezione contro CSRF ho riscontrato il problema di dover includere manualment...
posta 12.12.2015 - 00:13
1
risposta

PHP bin2hex vulnerabile all'attacco temporale?

Ho letto in alcuni punti [1] [2] [3] del desiderio di rendere costante il tempo di bin2hex di PHP. In quali scenari sarebbe bin2hex vulnerabile a un attacco di temporizzazione? Questo codice sotto è in grado di gestire un token CSRF vul...
posta 19.06.2015 - 07:19
2
risposte

Prevenzione degli attacchi CSRF contro le comunicazioni WebSocket

Ho letto il thread sugli attacchi CSRF in websockets ( Le app Web basate su WebSocket (ad esempio le app" comet ") devono preoccuparsi di CSRF? ) e anche altro materiale riguardante la sicurezza websocket, ma nessuno di loro sembra indirizzare i...
posta 25.12.2014 - 00:02