Preguntas con etiqueta 'csrf'

preguntas con etiqueta
1
respuesta

ubicación del token csrf

Sé que hay varios lugares para colocar un token csrf y el más común es colocar un campo de entrada oculto en un formulario. Segundo está en una cookie con la bandera httpOnly. Lo que quiero saber es si existe una oposición a colocarlo en una var...
hecha 01.08.2018 - 09:38
2
respuestas

Inicio de sesión en CSRF: ¿Puede el inicio de sesión del atacante utilizando credenciales válidas?

Considere la imagen a continuación (tomada de página 21 aquí ). es posible? Si es así, ¿cómo puedo prevenirlo?     
hecha 13.03.2013 - 07:38
1
respuesta

¿Qué hace el token de URL en phpMyAdmin si no está impidiendo CSRF?

Vi que había un vulnerabilidad de seguridad para phpMyAdmin mediante la falsificación de solicitudes entre sitios (CSRF) . Siempre pensé que el parámetro ?token= en todas las URL de phpMyAdmin evitaba esto, pero luego leí esto:    Pa...
hecha 04.01.2018 - 17:01
1
respuesta

¿Se podría considerar una CSRF una solicitud enviada por un ataque XSS en un módulo de cambio de contraseña?

Mi compañero estaba probando una aplicación web y encontró una vulnerabilidad XSS en un módulo de cambio de contraseña, este módulo coloca la contraseña antigua en un campo oculto, entonces es posible usar un ataque XSS para cambiar la contraseñ...
hecha 17.03.2017 - 23:57
2
respuestas

¿Cuál es el propósito del encabezado / cookie predeterminado en un token anti-falsificación MVC?

He leído que el token anti-falsificación MVC anula los ataques CSRF al almacenar tokens de seguridad en un campo de formulario y luego comparar el valor predeterminado del encabezado / cookie enviado por el navegador al valor de campo establecid...
hecha 11.05.2017 - 23:55
2
respuestas

¿Por qué nunca querría la protección CSRF?

Si bien puedo ver algunos de los gastos generales de la protección CSRF (generación de token, validación de token, trabajo adicional a implementar), no veo ninguna razón por la que no lo desee . ¿Hay algún caso en el que la protección CSRF...
hecha 29.07.2016 - 15:27
1
respuesta

Cookie + CSRF Token vs OAuth Token para aplicaciones móviles nativas

Tenemos una aplicación web de una sola página que funciona con puntos finales ASP.NET WebApi. Estos puntos finales aprovechan la autenticación de formularios y autenticación simple para manejar la autorización y la autenticación: [System.W...
hecha 15.10.2016 - 18:01
1
respuesta

¿Problemas de navegación del botón Atrás debido al token CSRF?

Tengo una aplicación web heredada y necesito protegerla de CSRF. Intenté resolver el problema sin comprometer la funcionalidad de la aplicación, pero tuve problemas relacionados con la navegación. ¿La generación de token y su almacenamiento e...
hecha 26.03.2016 - 18:13
2
respuestas

El marco de seguridad de Spring recomienda no usar cookies de doble envío para evitar el CSRF. ¿Es legítima su preocupación?

Tenía que ver con la protección CSRF de Spring Security framework de Spring Security framework para ver cómo funciona. Spring no utiliza el patrón de envío doble, sino que asocia el token CSRF con la sesión del usuario. La documentacion inc...
hecha 22.11.2014 - 17:08
1
respuesta

extrayendo JSESSIONID de document.cookie

Estaba intentando robar cookies en una aplicación web basada en java y spring. Normalmente, una cookie se puede obtener a través de <script>alert(document.cookie)</script> , pero en el código anterior, la cookie no se alerta....
hecha 20.10.2014 - 14:15