Preguntas con etiqueta 'csrf'

preguntas con etiqueta
1
respuesta

¿Qué define una vulnerabilidad CSRF?

Como parte de mi puesto en la empresa con la que estoy empleado, realizo una prueba de penetración manual en nuestra aplicación web (aún en desarrollo) para detectar vulnerabilidades. Durante las pruebas, intenté ver si nuestra aplicación web er...
hecha 15.01.2018 - 15:24
3
respuestas

¿Cómo mantener una verificación de origen / referencia para que la prevención CSRF no bloquee las URL que se escriben?

Estoy intentando configurar la prevención de CSRF al verificar los encabezados Origin y Referer, y también bloquear cualquier acción si no se establece ninguna. Sin embargo, si la URL simplemente se escribe o se pega en el navegador, dicha co...
hecha 30.05.2017 - 01:53
2
respuestas

¿Enviar un ataque CSRF con un referente de encabezado específico?

Hay una manera de evitar una protección CSRF del remitente y obligar a www.attacker.com a enviar una solicitud POST a www.victim.com con el encabezado como "referer: enlace "? Por ejemplo, el script a continuación puede cambiar la referencia...
hecha 03.06.2016 - 01:21
1
respuesta

¿Por qué se puede prevenir el ataque CSRF mediante la emisión de tokens CSRF?

La forma común de evitar solicitudes de CSRF: cada vez que el usuario carga una página que contiene un formulario para POSTAR, se le emite un token de CSRF que se supone que es desconocido para los sitios de terceros potencialmente malintenciona...
hecha 18.05.2018 - 14:25
2
respuestas

Si inicio sesión con el navegador X, ¿funcionará CSRF en el navegador Y?

Si todavía estoy conectado usando el navegador X, ¿puede funcionar un ataque CSRF cuando uso otro navegador Y (predeterminado) en la misma máquina? Supongamos que el servidor web tiene una vulnerabilidad CSRF y que no se realizará ninguna compro...
hecha 05.03.2011 - 14:26
2
respuestas

¿Cómo protege ViewState contra CSRF?

De acuerdo con OWASP CSRF Cheat Sheet viewStateUserKey para ASP.NET ViewState es aceptable para prevenir ataques csrf, pero realmente no entiendo cómo. Entiendo que esto hace que sea difícil para un atacante modificar el estado de vista...
hecha 23.08.2012 - 21:14
2
respuestas

¿Protección CSRF en el lado del servidor?

Soy consciente de que es mejor mantener mi aplicación web parcheada y protegida contra ese tipo de ataques, pero en mi caso esto es algo más experimental. ¿Hay algo útil, como un módulo que pueda usarse para apache (2.4.7) para "proteger" con...
hecha 02.01.2017 - 11:35
2
respuestas

¿Cómo funciona X-CSRF-Token?

Después de leer esta pregunta , si mi entendimiento es correcto, el servidor envía el token CSRF hacia abajo como una cookie. A primera vista, eso parece anular el propósito del token, ya que todas las cookies son enviadas por el navegador, inc...
hecha 20.03.2017 - 17:04
1
respuesta

¿Cómo se puede usar el encabezado de origen para la prevención de CSRF si Firefox no lo envía para las mismas solicitudes de origen o solicitudes de URI de datos?

Estoy planeando usar tokens de sincronizador para la prevención CSRF, pero OWASP recomienda Comprobando las referencias y los encabezados de origen también. He estado tratando de averiguar la lógica correcta para esto, pero mis experimentos su...
hecha 20.09.2016 - 18:22
3
respuestas

¿Por qué son necesarios dos tokens CSRF (campo oculto y cookie) para mitigar los ataques CSRF?

He visto el curso Pluralsight sobre seguridad web, que establece que para mitigar los ataques CSRF, el sitio web debe devolver dos tokens CSRF "emparejados" al cliente, uno en un campo de formulario oculto y otro en una cookie, que son asociado...
hecha 15.03.2018 - 18:31