Preguntas con etiqueta 'csrf'

preguntas con etiqueta
8
respuestas

¿Por qué actualizar el token CSRF por solicitud de formulario?

En muchos tutoriales y guías veo que un token CSRF debe actualizarse por solicitud. Mi pregunta es ¿por qué tengo que hacer esto? ¿No es un solo token CSRF por sesión mucho más fácil que generar uno por solicitud y realizar un seguimiento de los...
hecha 20.10.2012 - 13:15
2
respuestas

¿Debo usar AntiForgeryToken en todos los formularios, incluso en el inicio de sesión y el registro?

Estoy ejecutando un sitio bastante grande con miles de visitas todos los días y una base de usuarios bastante grande. Desde que comencé a migrar a MVC 3, he estado poniendo el AntiForgeryToken en varios formularios, que modifican los datos prote...
hecha 11.02.2011 - 22:08
3
respuestas

¿Debo usar la protección CSRF en los puntos finales de la API Rest?

Nota rápida: este no es un duplicado de protección CSRF con encabezados personalizados (y sin el token de validación) a pesar de algunos solapamientos. Esa publicación explica cómo realizar la protección CSRF en los puntos finales de descans...
hecha 03.08.2017 - 20:41
4
respuestas

Protección CSRF con encabezados personalizados (y sin validar el token)

Para un REST-api parece que es suficiente verificar la presencia de un encabezado personalizado para proteger contra ataques CSRF, por ejemplo. cliente envía "X-Requested By: whatever" y el servidor comprueba la presencia de "X-Requested-B...
hecha 30.10.2012 - 10:59
2
respuestas

¿Por qué es necesario el encabezado Access-Control-Allow-Origin?

Entiendo el propósito de Access-Control-Allow-Credentials encabezado , pero no puede ver qué problema resuelve el encabezado Access-Control-Allow-Origin . Más precisamente, es fácil ver cómo, si las solicitudes AJAX entre domini...
hecha 10.10.2013 - 19:11
3
respuestas

¿Por qué los navegadores no bloquean las POST entre sitios de forma predeterminada?

La política de mismo origen (SOP) hace que los navegadores bloqueen las secuencias de comandos de un origen para confundirlas con otras, a menos que se le indique explícitamente que no lo haga. Sin embargo, los POST entre sitios aún están permit...
hecha 18.04.2018 - 13:39
4
respuestas

¿Es necesario que una cookie CSRF sea HttpOnly?

Recientemente se nos entregó un informe de seguridad que contiene:    Cookie (s) sin el conjunto de indicadores HttpOnly vulnerabilidad, que aparentemente teníamos en una de nuestras aplicaciones internas. La solución aplicada fue tan...
hecha 15.12.2017 - 05:01
5
respuestas

¿Cuál es la forma correcta de implementar tokens de formulario anti-CSRF?

Soy plenamente consciente de CSRF y ya he implementado algunos formularios seguros, pero nunca me ha gustado. Los resultados todavía. He creado tokens como md5 de nombre de usuario, información de formulario y salt y lo almacené en una se...
hecha 12.11.2010 - 08:58
3
respuestas

OAuth2 falsificación de solicitudes entre sitios, y parámetro de estado

enlace dice:    El cliente DEBE implementar la protección CSRF [...] que normalmente se realiza al requerir que cualquier solicitud enviada al punto final de URI de redirección incluya un valor que vincule la solicitud al estado autenticado...
hecha 14.09.2012 - 12:17
2
respuestas

formulario de inicio de sesión HTML sin una protección CSRF

Recientemente hemos recibido un informe de vulnerabilidad que indica que uno de nuestros formularios HTML en una de las aplicaciones internas no está protegido por CSRF. Al principio, no pudimos reproducirlo de forma manual de forma inmediata ut...
hecha 13.12.2017 - 18:50