Preguntas con etiqueta 'csrf'

preguntas con etiqueta
2
respuestas

¿Por qué se envían cookies de terceros a sitios web de terceros?

Cuando visito este sitio web, las cookies de Google Analytics se envían desde mi navegador junto con la solicitud. Esto va en contra de mi comprensión de las cookies, ya que las cookies solo se envían al sitio que las colocó allí. ¿Cómo es...
hecha 02.05.2018 - 18:54
3
respuestas

¿Cómo defenderse contra un CSRF desde el mismo sitio web?

Todas las soluciones (uso de tokens, por ejemplo) he visto hasta el momento detalles sobre cómo prevenir un CSRF desde un sitio web externo, es decir, prevenir un CSRF de evil.com a victim.com. Sin embargo, ¿cómo protegería uno de un CSRF desde...
hecha 22.03.2017 - 15:57
2
respuestas

¿Debo invertir mi tiempo en hacer que mi sitio sea solo para HTTPS?

Estoy creando un sitio web de Django que no necesita tener registro / autenticación. La única parte sensible es un formulario con un reCaptcha v2. Por supuesto, estoy incrustando el token CSRF, que luego leo con Javascript y lo envío con soli...
hecha 27.08.2015 - 09:14
1
respuesta

Seguridad de las páginas de Github, de .com a .io

Las páginas de Github ahora usan el dominio github.io en lugar de github.com. He leído explicación de github pero todavía es difícil para mí entender la causa raíz. ¿Por qué un dominio se convierte en un problema de seguridad?     
hecha 09.06.2014 - 10:30
3
respuestas

¿Se exponen los datos en un ataque CSRF?

Me pregunto si un ataque CSRF divulgará la información que se envía de vuelta en una solicitud GET. Necesito enviar un número de seguro social al cliente unas cuantas veces, y NO es que nadie más pueda recibir. Los datos ya están protegidos p...
hecha 07.01.2014 - 15:59
2
respuestas

Generando el token CSRF de sesión basado en el ID de sesión SSL

Situación siguiente: La aplicación solo es accesible a través de HTTPS / SPDY nginx está enviando el ID de sesión SSL al servidor ascendente Al iniciar la sesión, me gustaría usar los primeros 128 caracteres de esa cadena En PHP: $c...
hecha 10.06.2013 - 22:56
3
respuestas

¿El software AV protege las aplicaciones web (Twitter, Facebook, etc.) de los ataques? (CSRF, etc.)

¿Es correcto decir que el software AV se enfoca en ejecutables descargados y actividad maliciosa localmente, y no analiza activamente el contenido HTTP / S en busca de ataques basados en web como CSRF, XSS, URL de phishing y otros ataques? > ¿...
hecha 28.11.2012 - 17:15
2
respuestas

Implementación CSRF

Estoy trabajando en el sitio web, donde quiero incluir controles csrf mediante el uso de controles de referencia, ¿será esto suficiente para proteger el formulario del ataque csrf? si no es lo que puede hacer un atacante para evitarlo?     
hecha 03.02.2015 - 12:20
1
respuesta

XSS y CSRF. Una gran diferencia

Por lo tanto, hay "sólo" una diferencia entre XSS y CSRF. Y es que XSS obliga a que se ejecute un script (o hace que se tome una acción por algún medio), mientras que CSRF realiza una solicitud HTTP. El script (acción) en XSS se puede bloq...
hecha 14.06.2017 - 07:49
2
respuestas

tokens anti-CSRF vs Referer y pruebas POST

Entiendo que los tokens anti-CSRF son una parte de los datos enviados en la respuesta que se espera que coincida en las solicitudes posteriores, pero no se almacena en las cookies. Por ejemplo, un formulario con un valor oculto que debe incluirs...
hecha 10.01.2012 - 22:30