Domande con tag 'csrf'

domande con tag
3
risposte

Controlla le intestazioni di Referer e Origin in modo sufficiente per impedire CSRF, a condizione che le richieste con nessuno dei due vengano rifiutate?

È possibile prevenire CSRF controllando le intestazioni di origine e di riferimento? È adeguato, a condizione che le richieste con nessuno dei due siano bloccate?     
posta 25.04.2017 - 02:48
3
risposte

Gli attacchi CSRF sono davvero ciechi

Sono nuovo agli attacchi CSRF ma non vedo come sono sempre ciechi. Diciamo che abbiamo a che fare con un sito in cui la risorsa che dobbiamo proteggere è la risposta HTTP. Qualcosa come la storia medica di una persona. In base a quanto ho let...
posta 14.05.2013 - 22:54
3
risposte

CSRF funziona quando il sito di destinazione non è aperto in una scheda?

Questo è uno scenario di attacco di esempio di OWASP per CSRF The application allows a user to submit a state changing request that does not include anything secret. For example: http://example.com/app/transferFunds?amount=1500&...
posta 14.06.2013 - 16:38
2
risposte

Drupal Disputed CVE Five Year Tempest - Open Source Security Shortfall?

Qualcuno può aggiungere contesto al problema soggetto? A prima vista, mi sembra che questo problema rappresenti una mancanza fondamentale nelle forze che incoraggiano la codifica sicura nello sviluppo open source. È questo il caso e / o questo e...
posta 29.03.2012 - 17:00
3
risposte

È sicuro non avere la protezione csrf nei moduli di accesso?

Ho notato che WordPress non ha una protezione csrf per il login del tuo pannello di amministrazione / wp-admin / . Possiede effettivamente un potenziale rischio? C'è qualche modo in cui un aggressore può sfruttarlo? È necessario disporre di...
posta 10.06.2015 - 11:57
4
risposte

Memorizzazione di token anti-CSRF nel cookie

Genero un token anti-CSRF casuale per sessione e lo memorizzo in un cookie (con il flag http_only impostato). Quindi aggiungo quel token ai moduli (in un campo di input nascosto) e ai link. Quando si riceve una richiesta sul server, cont...
posta 18.03.2013 - 11:01
2
risposte

Un token CSRF per sessione è adeguato con HTTPS?

La nostra è un'applicazione pesante Ajax con richieste Ajax simultanee. La generazione di token unici con ogni richiesta o scadenza e la creazione di nuovi token dopo un determinato intervallo potrebbe essere complicata con più richieste Ajax si...
posta 03.01.2013 - 08:14
3
risposte

come un iframe può causare xsrf?

So come un tag form è incline a CSRF che non usa alcun token (o qualsiasi altro meccanismo di challenge-response) ma mi chiedevo come un iFrame possa essere usato per causare l'attacco XSRF e quali sarebbero le tecniche di mitigazione? Di seguit...
posta 21.11.2011 - 13:56
2
risposte

Come convalidare correttamente i reindirizzamenti HTTP?

Sto leggendo la Lista di controllo delle procedure di codifica sicura di OWASP e nella loro sezione "Convalida dell'input" hanno una voce che dice: Validate data from redirects (An attacker may submit malicious content directly to the tar...
posta 09.08.2012 - 03:32
3
risposte

Che ne dici di prevenire CSRF in questo modo?

In base a foglio trucchi per la prevenzione di falsi siti (CSRF) , il la soluzione consigliata per proteggere il sito Web dall'attacco di CSRF è implementare il token pattern di sincronizzazione. E ciò richiede che il token sia casuale o unico....
posta 11.01.2013 - 10:33