Preguntas con etiqueta 'csrf'

2
respuestas

¿Cuál es un buen período de tiempo antes de actualizar el token CSRF de la sesión del usuario?

Estoy usando un token de formulario para evitar ataques CSRF. Esos tokens se almacenan y se vinculan a la sesión de un usuario. Ahora quiero actualizar el token solo cada N minutos u horas para que el usuario no tenga problemas de uso, como el b...
hecha 23.04.2014 - 15:38
4
respuestas

¿Cómo compartir el token CSRF a la aplicación cliente?

Tengo dos aplicaciones web diferentes. La aplicación web de servicios tiene servicios REST definidos. La aplicación web del cliente tiene páginas JSP que realizan llamadas a los servicios REST utilizando Ajax para obtener los datos y mostrarlos...
hecha 08.10.2013 - 11:41
3
respuestas

¿Es necesario ocultar los tokens anti CSRF?

Si los tokens no están ocultos, creo que el atacante puede cargar el sitio explotado en un iframe, pero no podrá acceder al token debido a la misma política de origen (SOP). ¿Esto es correcto o existen otras formas de acceder a los tokens CSR...
hecha 11.07.2017 - 21:45
1
respuesta

¿El uso de la autenticación basada en token hace que las comprobaciones de CSRF en el inicio de sesión no sean necesarias?

Según mi entendimiento, evitar el uso de cookies como mecanismo de autenticación evita las vulnerabilidades de CSRF por completo (es decir, la autenticación basada en token en un SPA), cuando se autentica. ¿Esto también hace que las comprobac...
hecha 26.05.2014 - 13:29
2
respuestas

¿Qué tipo de daño puede causar un sitio web con javascript malicioso?

Imaginando que quiero desarrollar un sitio web para dañar intencionalmente a sus visitantes, ¿qué tipo de ataques puedo hacer? Me imagino que un ataque CSRF típico funcionaría, pero ¿podría robar cookies de otro sitio web que no sea el mío? ¿Qué...
hecha 26.01.2017 - 15:59
1
respuesta

¿Un CSRF no autenticado sigue siendo un CSRF?

OWASP define falsificación de solicitudes entre sitios (CSRF) como    un ataque que obliga a un usuario final a ejecutar acciones no deseadas en una web   aplicación en la que se autentican actualmente . (énfasis mío) Un ejemplo de...
hecha 22.04.2017 - 13:01
1
respuesta

CSRF Bypass usando ActionScript a través de CrossDomain.xml débil

Tengo un objetivo que tiene un CrossDomain.xml débil pero evita el ataque CSRF al mirar uno de los encabezados HTTP personalizados. Encontré el siguiente ActionScript en un par de sitios web, que funciona perfectamente, excepto que no establece...
hecha 26.03.2017 - 12:55
1
respuesta

¿Es suficiente la cookie HttpOnly y Secure para evitar el CSRF en la api de descanso?

Creé una API RESTful usando Spring. Estoy transmitiendo una clave secreta como HttpOnly & Cookie segura con respuesta de inicio de sesión. Después de iniciar sesión, cada solicitud de resto comprobará con esa cookie y la actualizará cada vez...
hecha 23.12.2014 - 07:24
1
respuesta

¿Se puede usar un parámetro de "estado" de auth2 para evitar el uso de cookies de sesión para identificar usuarios?

enlace declara:    4.1.1. Solicitud de Autorización "       "estado"       RECOMENDADO. Un valor opaco usado por el cliente para mantener            Estado entre la solicitud y devolución de llamada. La autorizacion            El servidor...
hecha 19.10.2018 - 13:53
1
respuesta

¿Cuáles son los detalles de implementación y los fundamentos de AntiForgeryToken de ASP.NET MVC3?

El AntiForgeryToken se usa para prevenir ataques CSRF, sin embargo, los enlaces en MSDN no me dan mucha información sobre lo que hace exactamente el AntiForgeryToken, o cómo funciona, o por qué las cosas se hacen como están. De lo que recojo,...
hecha 06.02.2011 - 18:03