Preguntas con etiqueta 'csrf'

preguntas con etiqueta
3
respuestas

Ventajas de múltiples tokens CSRF válidos

Según tengo entendido, hay dos enfoques para realizar la protección CSRF: 1) Token CSRF por sesión: el token se genera una vez por sesión. Esta es la forma más fácil; 2) token CSRF por solicitud: el nuevo token se genera en cada solicitud...
hecha 09.02.2014 - 08:33
1
respuesta

¿Es posible enviar varias solicitudes POST utilizando CSRF?

Soy consciente de que puede ejecutar una solicitud POST utilizando CSRF utilizando el método a continuación: <form name="x" action="http://site/index/dosomething" enctype="text/plain" method="post"> <!-- stuff --> </form>...
hecha 22.10.2013 - 23:40
2
respuestas

¿Por qué se usan con tanta frecuencia los tokens CSRF?

Los tokens CSRF se usan mucho . El servidor establece un token en la cookie para ese dominio que (1) incluye en el formulario HTML o (2) Javascript puede leer e incluir en la solicitud. El servidor verifica que el token en la solicitud coinc...
hecha 08.12.2014 - 09:51
1
respuesta

¿Cómo prevenir el CSRF si desea incluir complementos de Flash en su formulario como Uploadify en su formulario?

¿Qué es CSRF? Necesito una definición básica que no se elimine de Wikipedia. Entiendo que la inyección SQL, XSS, el envenenamiento de cookies, pero simplemente no puedo entender esto. Estoy usando un marco, CakePHP , que tiene un compo...
hecha 18.01.2011 - 17:26
2
respuestas

¿Cómo configurar Chrome para evitar que sitios web externos accedan a mi enrutador?

Se ha revelado otra vulnerabilidad seria del enrutador: enlace Esta es una vulnerabilidad de ejecución de comando a través de la interfaz web. No me preocupa demasiado que los usuarios internos puedan explotarlo; Solo permito a personas de...
hecha 12.12.2016 - 12:22
1
respuesta

¿Necesito protección CSRF en esta configuración con una API REST respaldada con oauth2 y un servidor de autenticación SSO básico?

He visto la respuesta ¿Es posible CSRF? ¿Si ni siquiera utilizo cookies? pero hay 2 respuestas conflictivas y la pregunta en sí tampoco proporciona tanta información. Estoy creando una API REST que será utilizada por un cliente web (de nues...
hecha 11.07.2018 - 06:28
2
respuestas

Problemas para evitar el secuestro JSON con AntiForgeryToken de MVC3, o una validación de token similar

Dudo en implementar las soluciones de secuestro anti-JSON propuestas desde Las soluciones recomendadas para mitigar el secuestro JSON implican POST JSON no REST-REST para obtener datos La solución alternativa (ajuste de objetos) causa p...
hecha 06.02.2011 - 17:52
2
respuestas

¿Qué tan seguros son los tokens de autenticidad en los rieles?

Me encontré con un sitio web que utiliza el token de autenticidad de Rails para evitar ataques CSRF. Mi preocupación aquí es que puedo ver el token de autenticidad en el código fuente de la página web. Si cualquier otro servicio intenta llevar a...
hecha 22.04.2013 - 17:43
4
respuestas

¿Vale la pena revisar el referente?

Estoy investigando CSRF y una cosa en la lista, creo que es cuestionable. No estoy seguro de si vale la pena "verificar el referente" o no. Algunos artículos que leí, dicen algo de esta naturaleza:    Sin embargo, esto es riesgoso, ya que...
hecha 13.08.2015 - 18:24
3
respuestas

¿Por qué la vulnerabilidad XSS del sitio que lanza el ataque CSRF hace que el patrón del token del sincronizador no sea seguro?

Estaba leyendo esta pregunta sobre el uso del patrón de token de Synchronizer para protegerse contra CSRF y los comentarios de la respuesta me intrigaron. Por supuesto, como dice el último comentario, si su sitio tiene una vulnerabilidad XSS,...
hecha 08.10.2013 - 19:09