Preguntas con etiqueta 'csrf'

preguntas con etiqueta
1
respuesta

¿Obligatorio para implementar HTTP Solo si las cookies seguras de Java están configuradas como "verdaderas"?

Aquí hay un caso de prueba de una reciente evaluación de seguridad de la aplicación que he experimentado: cookie = new Cookie(strKey1, EncryptDecrypt.encrypt(strValue)); cookie.setMaxAge(-1); cookie.setDomain(COOKIE_NEW_DOMAIN); cookie.setPat...
hecha 03.04.2015 - 03:29
2
respuestas

¿Debería cada solicitud de publicación incluir el token csrf?

¿Cuál es el nivel de vulnerabilidad si el token anti-csrf no se envía con cada solicitud de publicación? (Si los niveles de vulnerabilidad fueran altos, medios y bajos). Entiendo que para las funciones críticas como el inicio de sesión, etc., de...
hecha 28.08.2014 - 00:59
2
respuestas

Pruebas CSRF de un punto final de API utilizando solicitudes GET

Tengo un punto final de api que devuelve un nuevo token de api en JSON al usuario si ha iniciado sesión en mi sitio web y solo se utilizan sus cookies de sesión para autenticarse. Estoy tratando de escribir un fragmento de código que se carga...
hecha 05.03.2018 - 19:13
1
respuesta

CSRF ataque en la funcionalidad de carga de archivos

¿Es posible realizar ataques CSRF en la funcionalidad de carga de archivos? Mi aplicación carga archivos mediante el envío de solicitudes POST multipart / form-data sin ningún token aleatorio. ¿Es posible preparar un formulario HTML que demuestr...
hecha 12.12.2017 - 18:42
2
respuestas

¿Proteger los sitios web de navegadores y complementos desactualizados mediante una combinación de lista blanca / lista negra?

Además de usar encabezados de navegador, deseo incluir en mi lista negra / blanca los complementos y el navegador de mi sitio para evitar que estos sistemas antiguos no parcheados (1) sean usuarios generales de mi sitio (2) eliminando esos "obje...
hecha 06.02.2011 - 16:59
4
respuestas

¿Este token CSRF generado se consideraría criptográficamente sólido?

Estoy trabajando para mejorar la seguridad de una aplicación web existente que actualmente no ha implementado el uso de tokens anti-CSRF, por lo que depende de mí generar una, agregar los campos ocultos y las comprobaciones, etc. Un derecho de l...
hecha 24.12.2014 - 22:56
1
respuesta

OAuth + Confused Deputy + verificación de token de acceso + parámetro de estado

El artículo "Usando OAuth 2.0 para la aplicación del lado del cliente" de Google en enlace indica que el cliente DEBE validar todo Acceda a los tokens para verificar que fue el destinatario del token de acceso, para evitar ser vulnerable al co...
hecha 09.02.2015 - 22:35
1
respuesta

.NET proporciona más de 8 formas de codificar datos para evitar ataques XSS. ¿Cuál debo usar cuando? [cerrado]

Estoy buscando formas de usar .NET para prevenir ataques XSS y he encontrado los siguientes métodos para codificar datos: string asdf = WebUtility.UrlEncode(code); string asdf1 = HttpUtility.UrlEncode(code); string asdf...
hecha 04.03.2014 - 15:59
2
respuestas

Utilizando el patrón de token del sincronizador, ¿debería asegurarse de que el token CSRF solo se comunique a través de HTTPS?

En pocas palabras, los tokens CSRF se pueden eliminar de las respuestas del servidor a menos que la solicitud / respuesta se transmita mediante cifrado. ¿Es esto una preocupación suficiente para preocuparse, o es razonable permitir que el token...
hecha 16.04.2014 - 20:44
4
respuestas

ID de sesión en el código fuente de la página html

Quiero saber si es peligroso de alguna manera almacenar el ID de sesión de usuario registrado actual en el código fuente generado de la página. ¿Por qué quería hacer eso? Estoy intentando compartir la sesión del usuario entre dos aplicacio...
hecha 29.01.2014 - 23:08