Preguntas con etiqueta 'csrf'

preguntas con etiqueta
1
respuesta

El token XSRF se adjunta a las formas dinámicamente

No he visto esto en ningún lugar en la naturaleza, por lo que me pregunto si es seguro inyectar en formas del mismo origen la entrada oculta que contiene el token XSRF utilizando JavaScript como este: document.addEventListener('DOMContentLoa...
hecha 12.01.2017 - 01:57
0
respuestas

Burpsuite - Macro de token CSRF

Implementé un sitio web usando vaadin-framework . Cuando envío una solicitud a mi servidor, hay algunos datos en mi POST-Request que parecen:    {"csrfToken":"3df2f528-15c7-434c-8505-539be1c44157","rpc":[["13","v","v",["text",...
hecha 06.10.2016 - 11:02
3
respuestas

¿Por qué se prefiere el patrón de token del sincronizador sobre el encabezado de origen para evitar CSRF?

Soy muy consciente del concepto de CSRF, y creo que también soy consciente de las posibles posibilidades de protección, tal como se describe en OWASP . Sin embargo, no estoy seguro de por qué el patrón del sincronizador parece ser preferido, si...
hecha 09.06.2015 - 11:27
0
respuestas

Increíble vulnerabilidad de omisión de la autenticación del enrutador de Belkin: ¿CSRF se utiliza para explotar?

Visité la página principal del sitio CERT hoy por otra razón cuando miré la lista de boletines de vulnerabilidad recientes y encontré algunas noticias que de alguna manera me había perdido antes de hoy: un aviso de que se encontraron cinco vul...
hecha 23.09.2015 - 01:41
0
respuestas

Evitar la suplantación del cliente con Rest Api

Estoy seguro de que este caso de uso tiene una solución conocida, pero no puedo encontrar nada en Google o no sé qué palabras clave utilizar. Estamos construyendo una aplicación Angular que está respaldada por un Api Rest. Para la Autorización,...
hecha 15.01.2016 - 15:04
1
respuesta

tokens CSRF para un sistema JWT-auth usando cookies

Creo que tengo esto ordenado, pero me encantaría escuchar si me equivoco. Tenemos un conjunto de aplicaciones Python + Angular.js, que utilizan tokens JWT para la autenticación, donde los tokens se cifran mediante una clave secreta, la carga úti...
hecha 28.12.2016 - 23:47
2
respuestas

Protección CSRF con cookie y AJAX

Me gustaría señalar que he leído la otra pregunta con un título vergonzosamente similar y no contiene una respuesta a mi pregunta. No he usado CodeIgniter como programador, pero recientemente he realizado una prueba de penetración para un sit...
hecha 09.06.2013 - 02:12
2
respuestas

¿Existe alguna vulnerabilidad al utilizar XHR con el método GET y el encabezado HTTP personalizado anti-CSRF?

Imagina el botón después de hacer clic en qué navegador envía una solicitud XHR http con el método GET. Características: después de ejecutar la solicitud, se realiza una acción sensible la información confidencial se envía en los parámetro...
hecha 17.05.2012 - 13:37
4
respuestas

¿Está bien colocar el token CSRF en una cookie?

Estoy desarrollando protección CSRF con un token para una de mis aplicaciones. Dado que no hay lugar para implementar el token en POST o GET o datos de formulario, estoy pensando en ponerlo en una cookie. ¿Es ese un buen enfoque?     
hecha 05.10.2018 - 12:33
2
respuestas

inyección de cabecera + codeigniter

Estoy leyendo Pautas de codificación segura de Mozilla , y encontré esta declaración: Don't trust any user data (input, headers, cookies etc). Validate it before using it Estoy usando el marco de codeigniter, y estoy usando lo siguiente (e...
hecha 09.05.2012 - 23:55