Domande con tag 'csrf'

domande con tag
2
risposte

Protezione Ajax e CSRF

Senza entrare troppo nei dettagli, ho un sito che è al 100% Ajax. Tutte le richieste al sito (sia GET che POST) vengono eseguite tramite Ajax. Ora devo implementare la protezione CSRF e tutte le soluzioni che ho trovato si riducono all'invio di...
posta 16.09.2012 - 05:08
1
risposta

Posso generare un token CSRF a doppio cookie sul client con JavaScript?

Ci sono problemi con la creazione del token CSRF con JavaScript appena prima di inviare il modulo? Esempio: var csrf_token = Math.random(); // Write csrf token to cookie. // Add csrf token to the form being submitted. // Submit form. // Ve...
posta 01.03.2017 - 10:04
2
risposte

Le impostazioni della mia sessione sono abbastanza sicure?

Sto sviluppando un file che ospita e condividi un'applicazione web. Le seguenti impostazioni della sessione PHP sono sufficientemente sicure? ini_set('session.cookie_httponly', 1); ini_set('session.cookie_lifetime', 0); ini_set('session.en...
posta 10.05.2014 - 11:08
3
risposte

CSRF in scadenza prima del modulo inviato

Ho un modulo web molto lungo che potrebbe richiedere ore per essere completato. Il problema è che quando le persone impiegano troppo tempo il token CSRF scade prima che siano terminate e quando colpiscono submit ottengono un errore 403. Per r...
posta 01.07.2015 - 13:30
2
risposte

Quando dovrebbero essere utilizzate sessioni lato server invece delle sessioni lato client?

Dal punto di vista della sicurezza delle informazioni, quando dovrebbero essere abilitate le sessioni lato server invece delle sessioni lato client? Da quanto ho capito, le "sessioni lato client sicure" sono cookie che contengono dati firmati...
posta 25.02.2016 - 07:32
3
risposte

Protezione CSRF su pagine statiche

Ho un sito statico con form. I moduli vengono inviati a un endpoint di Rails che acquisisce i dati inviati. Il sito statico e l'endpoint Rails si trovano sullo stesso dominio, su sottodomini diversi e tutto il traffico è completamente su HTTPS....
posta 29.10.2012 - 12:24
2
risposte

Presentazione su Web App Security (capitolo degli studenti ACM)

Sono un membro del locale capitolo degli studenti ACM nella mia università e, come parte delle nostre attività, sono in programma di tenere un discorso sui problemi attuali relativi alla sicurezza delle applicazioni Web (e possibilmente su misur...
posta 22.12.2011 - 05:58
7
risposte

Devo impedire l'invio di richieste GET per gli URL che normalmente vengono gestiti con la richiesta POST?

Esiste un url che viene normalmente utilizzato utilizzando le richieste POST (vale a dire che la richiesta POST viene inviata quando l'utente invia il modulo). Ma l'utente malintenzionato può creare una richiesta GET con parametri inviati nella...
posta 18.10.2011 - 19:29
4
risposte

La CSRF è possibile se non utilizzo nemmeno i cookie?

Ho una API REST che sta usando un token di accesso che viene inviato nell'intestazione o come query url. Non uso affatto i cookie. Sono ancora vulnerabile agli attacchi CSRF? So che lo farei se usassi i cookie poiché altre schede possono invi...
posta 29.06.2014 - 19:34
2
risposte

Cos'è più sicuro: molte sottodirectory o molti sottodomini?

Ho 3 siti web che possono essere configurati come "VirtualApplication" in servicedefinition.csdef: www.mydomain.net/enroll www.mydomain.net/admin www.mydomain.net/ ... oppure posso configurarli come un sito: enroll.mydomain.net admin.m...
posta 13.04.2011 - 22:29