Preguntas con etiqueta 'csrf'

preguntas con etiqueta
2
respuestas

Ayuda Anti-CSRF del método POST con Burp Suite

Estoy probando una aplicación web y me encuentro con tokens anti-CSRF dentro de las formas, lo que dificulta los intentos de fuzzing al usar el intruso Burp Suite. Un token anti-CSRF aparece como csrf-token dentro de un meta campo HTML. Al env...
hecha 17.10.2018 - 03:40
2
respuestas

¿Puedo poner el token de sesión en el cuerpo para proteger contra CSRF? [duplicar]

Diga que tengo un usuario con un token de sesión asociado. Este usuario desea eliminar su cuenta, por lo que va a su enlace asociado. Yo, intentando proteger a mis usuarios y a mí mismo de los ataques CSRF, lo tengo así, cuando el usuario hace...
hecha 06.09.2018 - 04:30
2
respuestas

XMLHttpRequest CSRF falla con CORS permitido

Actualmente estoy trabajando en un PoC para un ataque CSRF, que debería ser posible debido a la configuración CORS laxa. Tengo permiso para atacar. Ahora el siguiente código debe enviar una solicitud de OPCIONES, que incluye todos los detalle...
hecha 21.09.2018 - 09:36
2
respuestas

CSRF con una API CORS JSON [duplicado]

Tenemos api.example.com que se comunica con app.example.com, una aplicación nativa de Android y una aplicación de iOS. Queremos permitir que otros terceros también se comuniquen con la API si así lo desean, y como tal tenemos un conjunto de en...
hecha 15.01.2018 - 15:11
1
respuesta

¿La verificación de los encabezados de origen y referencia para la protección CSRF bloqueará las solicitudes válidas?

Si el origen y el encabezado del remitente se verifican según hoja de trucos OWASP CSRF se sigue , ¿se bloquearán las solicitudes válidas (ignorando la parte del token de la recomendación para esta pregunta)? He visto algunas referencias al he...
hecha 06.06.2017 - 11:20
1
respuesta

¿Me faltan lagunas con la gestión de mi sesión actual?

Estoy creando un sitio con Spring, que requiere autenticación para poder acceder a ciertas páginas. El sitio en realidad está compuesto por un host cliente, que representa las vistas y maneja el enlace de datos, y un host de API REST (también...
hecha 28.03.2017 - 21:17
3
respuestas

Cookie cifrada para evitar ataques csrf

Para prevenir ataques CSRF, ¿la creación de una cookie cifrada con un nonce evita un ataque CSRF? Además, a eso se verifica la referencia contra el origen objetivo. No puedo cambiar miles de páginas para incrustar el token en cada envío y no ten...
hecha 15.11.2016 - 22:45
1
respuesta

¿Necesito el token CSRF y cómo me agrega protección adicional (Angular / Node SPA)

Estaba leyendo sobre XSRF y me gustaría asegurarme de que entiendo el problema correctamente y saber si mi aplicación está protegida contra ese tipo de ataque. Cómo entiendo que funciona CSRF: agregar una cadena aleatoria (?) que se guard...
hecha 03.08.2016 - 12:47
1
respuesta

tokens CSRF en aplicaciones de una sola página (JavaScript / Angular)

Tengo un AngularJS SPA servido por Apache en un host web barato. Toda la comunicación con el backend es a través de llamadas REST de Ajax a un servidor en la nube costoso que ejecuta Tomcat. ¿Cómo pueden protegerse las llamadas REST de CSRF dado...
hecha 04.12.2015 - 06:50
3
respuestas

¿Existe algún peligro de CSRF si un servicio web no afecta los datos del servidor?

He estado leyendo sobre CSRF y cómo funciona, y, si lo entendí correctamente, lo 'único' que puede hacer un atacante es forzar al usuario a realizar acciones que no tenía la intención de hacer. Comprendo el peligro si tenemos un servicio como...
hecha 10.11.2015 - 14:30