Preguntas con etiqueta 'csrf'

preguntas con etiqueta
4
respuestas

sobre CSRF en el formulario enviar [duplicar]

Seguramente me estoy perdiendo algo en la imagen de cómo funcionan los ataques y protecciones de CSRF. Mi entendimiento en un escenario de envío de formularios es que la protección se basa en un token impredecible, de alguna manera se supon...
hecha 31.07.2015 - 18:44
3
respuestas

¿CSRF sigue siendo un vector de ataque relevante?

CSRF formaba parte de listas más antiguas de OWASP TOP 10, pero se retiró "ya que muchos marcos incluyen defensas CSRF, solo se encontró en el 5% de las aplicaciones". Pero incluso sin los marcos que hacen la defensa CSRF, tengo la sensación de...
hecha 02.10.2018 - 20:27
3
respuestas

Prevención de CORS y CSRF para una API basada en REST

Actualmente estoy tratando de ver cómo prevenir el CSRF. Mi primera solución fue usar un token que se sugiere en todas partes. Eso, por supuesto, solucionaría este problema: <img src="http://api.example.com/me/delete">Peroloquenopuedo...
hecha 08.06.2015 - 15:52
1
respuesta

CSRF en la página de inicio de sesión

Tengo un token CSRF en la página de inicio de sesión, que funciona como se esperaba. Entonces, cuando el usuario tiene la página de inicio de sesión abierta durante mucho tiempo (el token ha caducado en segundo plano). Cuando ingresan sus creden...
hecha 25.03.2016 - 00:49
2
respuestas

_ _ VIEWSTATE para protegerse contra CSRF

No soy un desarrollador .NET y estoy tratando de entender cómo protege exactamente __ViewState contra los ataques CSRF / XSRF. Encontré lo siguiente: security Debate de intercambio de pila sobre un tema similar y Guía OWASP para la prot...
hecha 18.11.2014 - 07:48
2
respuestas

¿La "Autorización: portador" en el encabezado de solicitud solucionará los ataques CSRF? [duplicar]

He estado leyendo sobre la reparación de ataques CSRF. Según algunas investigaciones, entiendo que buscar un encabezado no estándar evitaría los ataques CSRF ya que el navegador no se enviará automáticamente tales encabezados Asumí que re...
hecha 01.11.2017 - 14:30
2
respuestas

¿Alguien puede recomendar gemas para verificar las vulnerabilidades de seguridad? [cerrado]

Quiero revisar uno de mis proyectos RoR para detectar vulnerabilidades de seguridad. Entonces, ¿alguien puede recomendar gemas para mis necesidades?     
hecha 16.07.2012 - 00:06
2
respuestas

¿Es posible CSRF en un SPA SSR con autenticación de cookie?

Tengo una aplicación de una sola página, que es básicamente un consumidor para mi API que se autentica utilizando el encabezado Authorization . Ahora, porque hago la representación del lado del servidor, necesito autenticar en la solicit...
hecha 09.01.2018 - 23:11
2
respuestas

¿Impedir un ataque CSRF usando expresiones regulares, almacenamiento de sesión y token de autenticación?

El usuario inicia sesión en mi servicio de API web utilizando su nombre de usuario y contraseña. El token de autenticación del servicio del API web para el navegador del cliente. El navegador del cliente guarda el token de autenticación en e...
hecha 19.12.2015 - 04:47
2
respuestas

¿Un ataque que no cambia el estado del servidor puede considerarse un ataque CSRF?

De Wikipedia:    Una verdadera vulnerabilidad CSRF en uTorrent (CVE-2008-6586) explotó el   hecho de que su consola web es accesible en localhost: 8080 permitido   Acciones de misión crítica para ser ejecutadas como un simple GET.   solicitud...
hecha 25.03.2016 - 12:48