¿El envío de recaptchaPublicKey y RecaptchaToken en la publicación solicita una amenaza potencial para la seguridad?

Navega tus respuestas
2

He implementado reCaptcha en el formulario de inicio de sesión para ralentizar el potencial ataque de fuerza bruta. Sin embargo, la aplicación envía recaptchaPublicKey & RecaptchaToken en la solicitud de publicación junto con las credenciales de inicio de sesión. ¿Conduce a una amenaza de seguridad? De acuerdo con mi entendimiento, si la aplicación refleja secretos (como tokens) en cuerpos de respuesta HTTP, eso se clasificará como un potencial ataque de EXCESO (Reconocimiento de navegador y Exfiltración mediante compresión adaptativa de hipertexto).

¿Es seguro enviar RecaptchaToken en una solicitud posterior?

    
pregunta NinjaV 22.12.2017 - 13:01
fuente

1 respuesta

1

Enviar los campos adicionales en la solicitud no es un problema. Dependiendo de la implementación del lado del servidor, es posible que los necesite para validar la solicitud. No debería tener que reflejarlos, por lo que esto no llevaría a un XSS. En cualquier caso, esto no sería un ataque BREACH, un ataque BREACH requiere que el atacante pueda controlar parte de la página, y no veo cómo sería este el caso con ReCaptcha. (A menos que consideres que Google sea el atacante, pero incluir su javascript en tu sitio les habría dado acceso de todos modos, por lo que no cambia el panorama de amenazas).

    
respondido por el David 15.01.2018 - 05:37
fuente

Lea otras preguntas en las etiquetas

¿Es seguro almacenar secretos en LDAP? ¿Cómo se conecta el ransomware a la red profunda de Tor?