Preguntas con etiqueta 'csrf'

preguntas con etiqueta
2
respuestas

¿Comprobar un token sin verificar un encabezado es suficiente para la protección CSRF?

En sus pautas para asegurar su aplicación contra ataques CSRF, OWASP recomienda dos ataques separados cheques: 1. Check standard headers to verify the request is same origin 2. AND Check CSRF token Esta pregunta pregunta si Basta con co...
hecha 20.09.2017 - 20:17
2
respuestas

¿Por qué las cookies http se envían automáticamente al servidor cuando se realizan solicitudes http y CSRF?

En el lado del cliente, una solicitud http enviada desde la página web A que apunta al sitio web B hará que todas las cookies que pertenecen al sitio web B se envíen a B (incluso cuando A no pertenece a B). No entiendo por qué el comportamien...
hecha 17.04.2017 - 16:49
1
respuesta

Patrón de mejores prácticas para la sincronización de fondo del trabajador de servicio con protección CSRF

Tengo una solicitud que utiliza un token de una sola vez incrustado en la página para garantizar la protección CSRF: un atacante podría engañar a mis usuarios para que realicen una solicitud ilícita, pero no pueden obtener el token, e incluso si...
hecha 09.08.2016 - 08:59
1
respuesta

¿Necesitamos protección CSRF para el perfil de solicitante pasivo de WS-Federation?

Considere los pasos involucrados en el perfil del solicitante pasivo de WS-Federation 1 :   Lafiguraanteriormuestraundiagramadesecuenciadeunusuario(solicitante)queaccedeaunaaplicaciónwebconsunavegador.Dadoqueelusuarionoseautenticódebidoaunas...
hecha 13.02.2017 - 18:11
2
respuestas

¿Es posible engañar a una persona para que vaya a un sitio web y ejecute JavaScript, sin que ellos lo sepan? (sin marcos)

Mi sitio web es W. Si realizas una solicitud GET a mi sitio web, te da JavaScript y si ejecutas el JS, realizas alguna acción (si estás conectado y tienes una cookie de sesión). ¿Puede alguien engañar a otros para que ejecuten el JS? Podrían...
hecha 26.05.2016 - 10:11
2
respuestas

¿Es posible hacer que el botón de retroceso funcione si usamos un token CSRF por solicitud?

¿Debemos comprometernos con la navegación del botón Atrás si usamos un token CSRF por solicitud en lugar de un token por sesión? (Logré usar un token por sesión sin ningún problema de navegación, pero no pude hacer lo mismo con un token CSRF...
hecha 14.06.2016 - 06:56
1
respuesta

CSRF en llamadas API desde Javascript en el navegador

Noté que los tokens se usaban en las presentaciones de formularios para evitar ataques CSRF, aunque en 2016 muchas personas se están moviendo a JS frontend & APIs tranquilos. Estoy desconcertado, con este enfoque, ¿ya no hay necesidad de tok...
hecha 03.03.2016 - 03:08
2
respuestas

¿Se puede usar postMessage para enviar datos al iframe del pirata informático en el ataque CSRF?

Considere a un usuario que tiene una sesión abierta a un sitio legítimo con una contraseña. Esta página no tiene token anti-CSRF. Un hacker crea una página web con 2 iframes ocultos. Un iframe realiza un GET en la página con la contraseña y e...
hecha 14.04.2015 - 18:31
0
respuestas

Se busca: estrategia segura de inicio de sesión / autenticación para el sitio web con AND sin JavaScript en 2018

Estoy tratando de descubrir una estrategia para la autenticación segura, sin reinventar la rueda, pero también teniendo en cuenta las limitaciones específicas de mi situación. La estrategia no debe estar vinculada a un marco particular, aunque e...
hecha 13.03.2018 - 13:17
0
respuestas

¿Cómo funciona la protección CSRF de Ruby on Rails?

No estoy seguro de entender completamente cómo Ruby on Rails maneja la protección CSRF. Mi entendimiento fue que se genera un token y se incrusta en el marcado HTML como una etiqueta meta, y al mismo tiempo se cifra en la cookie de sesión. Al...
hecha 12.07.2018 - 16:24