Preguntas con etiqueta 'csrf'

preguntas con etiqueta
1
respuesta

¿Diferencia entre XSS y CSRF? [cerrado]

Sé de scripts entre sitios y falsificación de solicitudes entre sitios. Quiero saber si hay alguna similitud entre ellos?     
hecha 06.10.2016 - 21:23
2
respuestas

Vulnerabilidades dobles de las cookies

Es el Double Submit Cookies mecanismo vulnerable a cualquier cosa que no sea XSS y subdominio ataques ? Todos los mecanismos de protección CSRF son vulnerables a XSS, por lo que no es nada nuevo. Me pregunto si puedo confiar en este meca...
hecha 05.06.2014 - 21:53
3
respuestas

¿Por qué se prefiere el patrón de token del sincronizador sobre el encabezado de origen para evitar CSRF?

Soy muy consciente del concepto de CSRF, y creo que también soy consciente de las posibles posibilidades de protección, tal como se describe en OWASP . Sin embargo, no estoy seguro de por qué el patrón del sincronizador parece ser preferido, si...
hecha 09.06.2015 - 11:27
5
respuestas

¿Debo usar la protección CSRF para las solicitudes GET?

He visto varias declaraciones generales en la web en el sentido de que no necesita protección CSRF para las solicitudes GET. Pero muchas aplicaciones web tienen solicitudes GET que devuelven datos confidenciales, ¿verdad? Entonces, ¿no querrí...
hecha 26.02.2016 - 00:56
2
respuestas

¿Cómo hacer Ajax de forma segura?

Esta pregunta está inspirada en esta pregunta de seguridad enlace ¿Cuáles son las amenazas al usar Ajax? (Tenga en cuenta que estoy hablando de amenazas de seguridad, no de inconvenientes) ¿Cómo hago Ajax de forma segura? (Por favor, pro...
hecha 10.02.2011 - 20:06
2
respuestas

¿Serán las cookies del mismo sitio una protección suficiente contra CSRF y XSS?

Debo decir que me gusta esta idea y parece que traerá una nueva forma de protección contra CSRF y XSS o al menos reducirá esos ataques. Entonces, ¿qué tan efectiva será esta protección?    SameSite-cookies es un mecanismo para definir cómo...
hecha 30.04.2016 - 11:37
3
respuestas

¿Se puede usar un JWT como token CSRF?

Necesito un token CSRF, para una aplicación determinada que envía un formulario con POST . Idealmente, me gustaría no realizar una llamada de base de datos para cada envío, para evitar el almacenamiento y el tráfico de base de datos y amp;...
hecha 25.02.2016 - 19:48
5
respuestas

¿Por qué una ficha anti-falsificación necesita tantos bits?

En enlace Google recomienda utilizar un número aleatorio de criptografía segura de 130 bits como una antifalsificación. token. ¿Por qué necesitamos tantos bits? Si un atacante decide montar un ataque de fuerza bruta, ¿no sería posible de...
hecha 03.06.2014 - 06:52
4
respuestas

Token CSRF en solicitud GET

De acuerdo con la guía de pruebas de OWASP, un token CSRF no debe estar contenido dentro de una solicitud GET, ya que el token en sí puede estar registrado en varios lugares, como registros o debido al riesgo de navegar por el hombro. Me preg...
hecha 30.05.2013 - 13:33
3
respuestas

Si nunca quiero que se acepten solicitudes de origen cruzado, ¿puedo ignorar CORS?

La especificación CORS indica que si un método de solicitud y encabezados no son simple luego se envía una solicitud de OPCIONES HTTP de verificación previa para ver si la solicitud está permitida por el servidor. Mi servidor no responde co...
hecha 27.08.2012 - 20:43