Preguntas con etiqueta 'csrf'

preguntas con etiqueta
2
respuestas

Cookies de terceros y CSRF

¿Las cookies de terceros abren la posibilidad de CSRF donde puede que no exista? Estaba mirando una publicación de blog , así como una borrador de IETF sobre cookies del mismo sitio que parece que las cookies de terceros pueden hacer que CSRF...
hecha 13.01.2017 - 17:07
2
respuestas

Obtención de la carga útil en intrusos eructos dinámicamente desde el sitio web

Para el propósito de mi tesis, necesito encontrar la combinación de nombre de usuario y contraseña en un sitio web determinado. He intentado lograr el uso de Hydra, pero fallé miserablemente debido a un valor de formulario oculto, que cambia cad...
hecha 31.08.2016 - 23:54
1
respuesta

¿Las cookies solo de Https son vulnerables a los ataques CSRF?

Dada la situación hipotética: Un usuario inicia sesión en su sitio web bancario El servidor devuelve una cookie solo de Http que contiene la identificación del usuario, encriptada. En cada solicitud (como cuando se transfieren fondos), e...
hecha 07.11.2016 - 17:17
2
respuestas

¿El ASM Big-IP de F5 puede proteger contra CSRF para llamadas AJAX?

Sé que el ASM Big-Ip de F5 ofrece protección contra CSRF con respecto a enlaces y formularios. Sin embargo, cuando se trata de llamadas AJAX, su documentación es algo ambigua. Entiendo que NO son compatibles con CSRF en el contexto de las lla...
hecha 08.01.2016 - 14:56
1
respuesta

Explotando la solicitud PUT CSRF

Si la aplicación utiliza comunicación REST, ¿debe tener protección CSRF para las solicitudes PUT y DELETE? Según tengo entendido, no es posible activar una solicitud PUT mediante JavaScript y, por lo tanto, me gustaría saber si existe alguna pos...
hecha 21.11.2015 - 10:44
3
respuestas

Necesita ayuda para entender el mecanismo de autenticación de Windows

Incluso si hago cumplir HTTPS y uso tokens anti-falsificación, parece que la autenticación de Windows podría ser intrínsecamente insegura porque no requiere que el usuario pase explícitamente las credenciales del cliente al servidor. En entor...
hecha 23.09.2015 - 13:41
3
respuestas

¿Debería funcionar el token CSRF sin cookie de sesión?

Digamos que el sitio web example.com tiene protección CSRF. Envían un token CSRF en un encabezado personalizado y en campos de entrada ocultos. Por ejemplo, para agregar una nueva carpeta, su solicitud http debe contener el token CSRF. Lo que...
hecha 07.02.2015 - 17:13
2
respuestas

¿Debo usar un token CSRF por página o por formulario?

¿Es seguro usar un token CSRF por formulario en mi página, por ejemplo: <form> <input type="hidden" name="token" vale="<?=$data['login_token'];?>" />" </form> <form> <input type="hidden" name="token" va...
hecha 09.05.2016 - 21:08
3
respuestas

¿Será suficiente con verificar el token CSRF en el encabezado y el formulario oculto?

Por lo que leí aquí , los tokens CSRF del encabezado de la cookie no pueden Ser leído debido a la política del mismo origen. ¿Es suficiente comparar el token CSRF en el encabezado de la cookie con el elemento oculto del formulario? Con es...
hecha 09.10.2014 - 16:17
1
respuesta

¿El acrónimo CSRF se refiere al token o al ataque en sí?

Estoy realmente confundido de lo que es CSRF. Sé que significa falsificación de solicitud de sitio cruzado. enlace Cuando lo lees aquí, habla de un ataque de falsificación de solicitud entre sitios. Pero a veces la gente lo usa para referir...
hecha 22.08.2014 - 17:53