Preguntas con etiqueta 'csrf'

preguntas con etiqueta
1
respuesta

Implicaciones de seguridad de agregar todos los dominios a CORS (es decir, Access-Control-Allow-Origin: *) [duplicado]

Tengo curiosidad acerca de cuáles son todas las implicaciones de seguridad si configuro las siguientes dos respuestas HTTP CORS ; Access-Control-Allow-Origin: * Access-Control-Allow-Credentials: false Los únicos problemas de seguridad qu...
hecha 27.11.2013 - 12:07
1
respuesta

¿Se garantiza que una cadena aleatoria en una cookie y un encabezado sean lo mismo para proteger contra XSRF?

En un esquema de cookie-to-header para enviar los tokens xsrf / csrf , el servidor establece un número pseudoaleatorio criptográficamente seguro como una cookie en la máquina del cliente. Se espera que el código de script java en la máquina cl...
hecha 29.10.2017 - 02:52
1
respuesta

Fijación de sesión OpenID con CSRF

Esta respuesta describe una situación en la que se puede usar CSRF para engañar a un usuario final para que ingrese una tarjeta de crédito en la cuenta de Paypal de otra persona. También destaca el hecho de que las solicitudes GET que cambian...
hecha 08.11.2011 - 17:50
1
respuesta

Dos soluciones para CSRF en OWASP para ASP.NET WebForms

Estoy confundido acerca de las diferencias entre esas dos soluciones de OWASP ASP.NET Web Froms Guidance Solución uno:    Si bien viewstate no siempre es apropiado para el desarrollo web, usarlo   Puede proporcionar mitigación CSRF. Para...
hecha 14.06.2018 - 04:24
1
respuesta

¿Es el interceptor de tokens Struts2 una forma viable de protección contra CSRF?

Actualmente estoy implementando el interceptor de tokens Struts2 predeterminado en todos nuestros formularios como medida contra CSRF (haciendo que un usuario ejecute una acción en nuestro producto sin saberlo, visitando otro sitio web y activan...
hecha 30.11.2016 - 13:02
1
respuesta

El control de acceso permite la eficiencia de protección del navegador de origen

Estaba creando un sitio web a modo de experimento e intenté usar algunas solicitudes ajax para diferentes sitios. En algunos sitios obtendré un error:    XMLHttpRequest no puede cargar enlace No   El encabezado 'Access-Control-Allow-Origin'...
hecha 05.07.2016 - 01:14
1
respuesta

¿Es seguro usar un token CSRF varias veces?

Soy nuevo en el problema CSRF y estoy estudiando cómo se implementa la protección CSRF en aplicaciones populares como Facebook, Instagram, etc. Ahora estoy estudiando cómo se usa la protección CSRF en la implementación de OAuth. Algunos servi...
hecha 27.09.2015 - 16:05
1
respuesta

Protección CAS contra ataques CSRF

Un sitio web basado en Apache Struts utiliza central authentication service (cas) para iniciar sesión. Me gustaría saber si es necesario proporcionar protección adicional csrf con Struts en caso de que cas no proporcione e...
hecha 06.06.2014 - 12:26
1
respuesta

¿Cómo se propagó el gusano Tumblr?

Recientemente Tumblr fue golpeado por un gusano de rápida propagación . ¿Cómo funcionó el gusano? ¿Cuál fue la vulnerabilidad en Tumblr que explotó? ¿Explotó una vulnerabilidad XSS en Tumblr? ¿Una vulnerabilidad CSRF en Tumblr? ¿Algo más?...
hecha 07.12.2012 - 06:36
3
respuestas

¿Por qué puedo leer la respuesta a este ataque CSRF?

Tengo un sitio web www.foo.com:8002 que he resuelto en 127.0.0.1:8002 en mi archivo de hosts. Tengo otro (el sitio principal) ejecutándose en localhost: 80 En www.foo.com:8002, la página se ve así <form name="myform" action="http://local...
hecha 28.08.2012 - 00:09