Preguntas con etiqueta 'csrf'

preguntas con etiqueta
1
respuesta

¿Protección CSRF usando el token de autenticación en el encabezado HTTP? [duplicar]

Estoy trabajando en una aplicación web que almacena un token de autenticación en una cookie. La única protección CSRF es la comprobación de referencias. Estoy considerando mejorar esto moviendo el token de autenticación de las cookies a...
hecha 27.01.2015 - 10:41
2
respuestas

¿Los archivos de WordPress protegerán contra el inicio de sesión CSRF?

¿Se puede utilizar Wordpress Nonces para protegerse contra el inicio de sesión CSRF? enlace Revisé el código de la función y parece que solo se está utilizando la ID de usuario para la verificación. Eso significa que el atacante y la víctim...
hecha 08.08.2015 - 18:06
1
respuesta

Enviar formulario con token

Tengo un token que quiero usar para evitar el acceso directo de algunos archivos php. Algunos de estos archivos php se cargan a través de AJAX. El token se usa con una sesión para asegurar el envío del formulario Y para evitar el acceso di...
hecha 26.11.2013 - 22:29
1
respuesta

¿Qué método para la generación de token CSRF debo usar en mi escenario?

Estoy trabajando en una API RESTful para trabajar con mi aplicación AngularJS. La autenticación funciona mediante la generación de un formulario de ASP.NET FormsAuthenticationTicket. Se almacena en una cookie utilizando FormsAuthenticatio...
hecha 05.12.2013 - 22:50
2
respuestas

¿Existe una guía que indique que todas las sesiones se cierran cuando un usuario cambia su contraseña?

A menudo, cuando una cuenta es hackeada, la guía de seguridad es cambiar su contraseña. Sin embargo, he notado que cambiar una contraseña a veces no es suficiente para desconectarse de otras sesiones que están activas. ¿Existe alguna guía de...
hecha 28.11.2012 - 17:05
2
respuestas

¿Cuáles son las características comunes para identificar un ataque CSRF desde el archivo de registro de Apache?

He intentado el ataque CSRF en la aplicación de vulnerabilidad web conocida como DVWA en mi localhost y en el sistema operativo Linux kali. He cambiado la contraseña en esta aplicación utilizando CSRF. Se ha recopilado siguiendo las entradas del...
hecha 16.12.2018 - 21:19
2
respuestas

¿Por qué los navegadores no restringen las cookies por pestaña para combatir los ataques CSRF?

¿Por qué las cookies se comparten entre las pestañas del navegador? ¿Evitar esto evita CSRF en sitios web de autenticación basados en cookies? ¿Se comparte la cookie entre las pestañas favoritas para acceder fácilmente al sitio web desde varias...
hecha 03.06.2017 - 10:32
1
respuesta

¿Se necesita AntiForgeryToken para suscribirse al boletín?

La recomendación general es incluir un token anti-falsificación en todas las solicitudes POST, pero ¿es necesario para el formulario de suscripción al boletín por correo electrónico? Muchos sitios de desplazamiento de una sola página tienen u...
hecha 22.12.2017 - 12:18
2
respuestas

¿Es malo permitir que los administradores cambien el correo electrónico de un usuario al restablecer las contraseñas?

Estoy confundido acerca de cómo implementar la funcionalidad de restablecimiento de contraseña. Estoy probando una aplicación web con dos roles: administrador y usuario normal. Solo los administradores pueden usar la funcionalidad de restablecim...
hecha 09.01.2018 - 21:04
2
respuestas

flujo de trabajo de protección JWT y CSRF

Tengo un esquema de autenticación y autorización personalizado basado en tres tokens JWT: token de referencia (opaco), token de acceso y token de actualización. El backend establece el token de referencia en una cookie y lo envía con cada solici...
hecha 29.08.2017 - 12:50