Preguntas con etiqueta 'csrf'

preguntas con etiqueta
2
respuestas

¿Cómo asegurar el punto final de validación de correo electrónico?

Tenemos validación de correo electrónico en nuestro formulario de registro (una llamada de Ajax a un punto final REST para validar una dirección de correo electrónico cuando un usuario ingresa). Digamos una forma normal nombre, apellido, correo...
hecha 06.11.2017 - 19:35
2
respuestas

¿Es válido defender un token CSRF contra la reproducción (por ejemplo, con una marca de tiempo)?

Tengo una aplicación MVC que está usando Capacidad AntiForgeryToken de ASP.NET MVC. AFAICT utiliza una variación de token de sincronizador cifrada donde valida la carga útil de los tokens. Un cliente ha cuestionado el hecho de que estos tok...
hecha 11.09.2017 - 13:43
1
respuesta

Aparte del token del sincronizador, ¿existe alguna forma de protección contra CSRF utilizando encabezados http?

Hace poco me encontré con algunos sitios web que utilizaban el encabezado HTTP, a saber, X-XSRF-Token y una cookie con un nombre similar. ¿Es una mitigación mejor que usar la seguridad basada en token aleatorio para CSRF?     
hecha 15.01.2015 - 11:34
2
respuestas

¿Se puede usar un sitio vulnerable a XSS para atacar un sitio con una vulnerabilidad CSRF?

He oído hablar de los ataques Cross Site Scripting ( XSS: un ataque donde un atacante inyecta código malicioso del lado del cliente (por ejemplo: JavaScript) en una aplicación web. ) y Cross Site Request Forgery (< em> CSRF: un ataque en el que...
hecha 26.09.2018 - 03:43
2
respuestas

aclaración CORS

Necesito algunas aclaraciones sobre los problemas que CORS (Intercambio de recursos entre orígenes) puede causar. Supongamos que el sitio A.COM ha habilitado CORS, en particular: Access-Control-Allow-Origin se puede establecer en cualquier s...
hecha 31.03.2018 - 20:09
2
respuestas

¿Debería la técnica 'Double Submit Cookie' de CSRF tener un valor semilla diferente para la cookie en comparación con la POST de HTTP?

Estoy leyendo sobre OWASP doble submit cookies método de protección y allí indica que el valor de la cookie entre el encabezado y la forma debe coincidir. Eso parece ser un riesgo, como lo indica el artículo, ya que el DOM & puede acced...
hecha 09.02.2011 - 16:57
2
respuestas

¿La protección CSRF es inútil con AJAX?

He hecho una pregunta con respecto a una implementación de ASP.NET WebAPI de protección CSRF: enlace Aunque hay una respuesta que dice que, con las políticas CORS predeterminadas, ese tipo de validación de token XSRF con llamadas AJAX es...
hecha 08.08.2017 - 15:15
1
respuesta

¿Qué impide el envío de "$ .post" de un dominio a otro?

Tengo un sitio web en la pestaña de cromo, y otro sitio web en otra pestaña, Estoy ejecutando el comando de publicación única en el segundo sitio web - $ .post (...); al primer sitio web. Originalmente no funciona (obteniendo: "No hay un encabez...
hecha 13.07.2017 - 00:55
1
respuesta

¿Cuál es el "alcance de validez" de una cookie del navegador?

Considere la protección CSRF estándar de una aplicación Ruby on Rails: un token CSRF está incrustado en la página HTML, mientras que al mismo tiempo se almacena cifrado como parte de la cookie de sesión. Al realizar una solicitud, el token incor...
hecha 12.07.2018 - 14:34
1
respuesta

CSRF en formularios anónimos

Tenemos un sitio que tiene un formulario en el que se solicita información (un estado, seleccionado desde un menú desplegable, que cambia las pantallas devueltas). Los usuarios anónimos interactúan con este formulario. Cuando escaneamos este...
hecha 11.07.2016 - 18:23