Preguntas con etiqueta 'csrf'

preguntas con etiqueta
2
respuestas

¿Las cookies HTTPOnly se envían a través de XmlHTTPRequest with withCredentials = True?

Tengo una pregunta de dos partes aquí. Tengo una aplicación web javascript que accede a puntos finales REST privilegiados. Me gustaría protegerme contra CSRF. Actualmente, tengo un sistema de inicio de sesión que devuelve una cookie de ini...
hecha 14.03.2014 - 07:48
1
respuesta

Autenticación con JWT

Estoy construyendo SPA (React / Redux) y requiero la autenticación del usuario. He encontrado discusiones similares, pero no he encontrado respuestas para las preguntas que describo a continuación. Aquí hay algunas opciones que encontré para imp...
hecha 15.05.2018 - 08:11
1
respuesta

¿Los Servicios Web de .NET son vulnerables a CSRF?

Mientras desarrolla TeamMentor implementé una serie de servicios web (consumidos a través de jQuery) y ahora en su último impulso para el lanzamiento quiero volver a verificar que no son vulnerables a CSRF. No hay mucha información buena po...
hecha 03.02.2012 - 17:48
3
respuestas

Mitigar el inicio de sesión CSRF en sitios web de terceros

Estoy trabajando en un proyecto que requiere tener una funcionalidad de registro / inicio de sesión expuesta a los socios que administran su propio sitio web. Para algunos de estos sitios web, reutilizan nuestro propio backend, y solo cambian el...
hecha 24.03.2016 - 09:45
2
respuestas

¿Es este un método anti-CSRF apropiado?

Tengo el siguiente sistema en mi aplicación web y me gustaría saber si es seguro. La cookie contiene el token CSRF. La aplicación detecta el token CSRF en la cookie. La aplicación coloca el token en un encabezado. El servidor verifica...
hecha 09.07.2015 - 17:41
1
respuesta

¿por qué el tipo de contenido de aplicación / json tiene el token csrf?

Si las aplicaciones Json están verificando correctamente el tipo de contenido y tienen crossdomain.xml bien configurado, ¿por qué siguen utilizando el token csrf? ¿Alguien podría decirme por qué usa el token csrf? AFAIK, no hay forma de ej...
hecha 19.01.2015 - 07:54
1
respuesta

¿Qué constituye un exploit? Pude comprometer mi enrutador de la casa común

Estaba configurando Wifi en casa hoy (solo usando el enrutador predeterminado que proporciona Time Warner Cable) y se horrorizó ante la mínima seguridad que brinda el servidor web. El nombre de usuario / contraseña predeterminado es Googlab...
hecha 30.01.2015 - 08:21
3
respuestas

¿Por qué la misma política de origen hace que mi PoC falle cuando no necesito leer los datos de devolución?

Estoy realizando un análisis de vulnerabilidad autorizado en un servicio web personalizado y he descubierto una vulnerabilidad CSRF. Debido a que no hay tokens de formularios junto con el servicio sin verificar el encabezado de origen, creí q...
hecha 17.10.2014 - 04:30
2
respuestas

¿El token aleatorio y la clave de confirmación de correo electrónico de 10 caracteres son suficientes?

Tengo una función que devuelve teclas aleatorias que no se pueden descifrar con los siguientes caracteres: a-z A-Z 0-9. He establecido la longitud de la clave en 10 y la estoy usando para mis tokens de formulario para evitar el CRSF y usaré l...
hecha 22.04.2014 - 19:54
1
respuesta

¿Por qué se requiere Access-Control-Allow-Origin para las solicitudes de dominio cruzado sin credenciales? [duplicar]

Entiendo CSRF y por qué no se pueden permitir las solicitudes AJAX entre dominios con cookies u otras credenciales sin un encabezado Access-Control-Allow-Credentials les permite explícitamente, de lo contrario, podría hacer cosas como...
hecha 21.08.2013 - 17:54