Preguntas con etiqueta 'csrf'

preguntas con etiqueta
2
respuestas

El token CSRF no está vinculado a la sesión en la aplicación Spring

Estamos desarrollando una aplicación Spring con Spring Security. Después de realizar algunas pruebas de lápiz, uno de los resultados de la prueba fue una vulnerabilidad:    El token de falsificación de solicitud entre sitios no está vinculado...
hecha 27.02.2018 - 20:03
2
respuestas

Usabilidad y tokens CSRF

En muchos productos diferentes, el token CSRF se almacena en una sesión. Lo que significa que si la sesión ha caducado, el siguiente envío de formulario fallará. Escenario de ejemplo: abres un formulario de inicio de sesión, la sesión se c...
hecha 11.05.2015 - 01:21
2
respuestas

encabezado de origen personalizado para omitir la protección CORS contra CSRF

CORS (intercambio de recursos de origen cruzado) puede usarse para proteger las aplicaciones web de CSRF. Antes de aceptar una solicitud, el servidor verifica que el host especificado en el encabezado Origin esté entre los hosts permitidos en...
hecha 13.09.2017 - 16:42
2
respuestas

Implementación de protección de patrón de token cifrado CSRF

Estoy implementando la protección CSRF usando el patrón de token cifrado a>). Entiendo que las 2 diferencias principales entre ese patrón y el Patrón de cookie de envío doble son: 1. El token en sí es un token encriptado, con vencimiento 2. e...
hecha 05.03.2015 - 13:47
2
respuestas

¿Por qué no hay una marca de SameOrigin que pueda colocar en las cookies para evitar el CSRF?

Hoy, pasé por el proceso de asegurarme de que mi servidor esté protegido contra los ataques CSRF, y me preguntaba por qué no hay solo una marca de SameOrigin que pueda establecer en mis Cookies. De la misma forma en que puede establecer HTTPOnly...
hecha 12.01.2017 - 20:57
1
respuesta

¿Está JWT en las cookies con alguna solución CSRF tan vulnerable al XSS como JWT en el almacenamiento local?

He leído que los tokens JWT no deberían almacenarse en localStroage porque los ataques XSS pueden leerlos. La solución propuesta es almacenar tokens JWT en cookies HTTPOnly y usar cookies anti-CSRF con doble envío. OWASP dice que todas las soluc...
hecha 11.04.2016 - 20:23
2
respuestas

Firmar cookies de envío doble, donde el valor es una cadena pseudoaleatoria y una firma de la misma. ¿Es esto más seguro?

No estoy seguro si estoy describiendo algo que ya se ha propuesto. Si no, me gustaría acuñar esta " cookies de envío doble firmadas " como un método para mejorar la técnica de cookies de envío doble que intenta evitar CSRF ataques . Aquí e...
hecha 25.04.2016 - 06:01
2
respuestas

¿Son estos cuatro encabezados HTTP protegidos contra los scripts de marcos cruzados?

Me gustaría hacer una pregunta sobre cuál es la mejor protección contra las secuencias de comandos de marcos cruzados. He configurado mi servidor web para agregar estos indicadores a HTTP HEADER: X-Same-Domain: 1 X-Content-Type-Options: nos...
hecha 15.09.2015 - 08:24
1
respuesta

¿Podría alguien explicar cómo el sitio de ASDA es vulnerable?

Estoy seguro de que muchos de ustedes habrán visto la hazaña CSRF destacada por Paul Moore que ASDA conoce desde hace dos años ( blog de Paul ) Estoy tratando de encontrar una explicación de POR QUÉ el sitio web es vulnerable y cómo garantiza...
hecha 21.01.2016 - 13:51
2
respuestas

¿Es más seguro almacenar el valor XSRF dentro de su JavaScript?

Para protegerse contra XSRF, necesita tener un token separado en una página. Ver: Codificación del horror: Prevención de ataques CSRF y XSRF, por Jeff Atwood Como sugiere la publicación, es mejor tener esos tokens en un campo oculto dent...
hecha 18.05.2013 - 08:08