Preguntas con etiqueta 'csrf'

preguntas con etiqueta
1
respuesta

¿Cómo se verifica el token CSRF?

¿Me gustaría saber cómo se verifican los tokens CSRF en el formulario enviado? Por favor, dígame si lo siguiente es correcto: El servidor emite una cadena aleatoria que se establece como la cookie de sesión y un valor para el campo ocult...
hecha 23.06.2016 - 16:27
1
respuesta

Robo de token de CSRF

Encontré este enlace que explica cómo un atacante podría explotar el control de acceso y permitir que el origen obtenga un token anti-CSRF: enlace Si el token en el ejemplo anterior era un token de un solo uso (se genera uno nuevo cada v...
hecha 05.06.2014 - 16:27
2
respuestas

Problemas de seguridad en el ejemplo del código de función "Recordarme"

Soy un principiante, y esto puede ser muy obvio para ti, pero estoy tratando de entender si hay problemas de seguridad con este ejemplo. Hoy en Stack Overflow, vi el siguiente post: PHP Sessions Iniciar sesión con Recordarme . La pregunta...
hecha 09.08.2014 - 16:53
1
respuesta

Cómo verificar el encabezado de origen en todo el servidor en IIS para evitar CSRF

Si bien soy consciente de que el patrón de sincronización es el método recomendado para evitar ataques CSRF, me encuentro en una situación en la que sería mucho más rápido implementar la comprobación del encabezado de origen. Tenía la esperan...
hecha 09.06.2015 - 11:22
1
respuesta

¿Cómo prevenir ataques CSRF en dos etapas?

Supongamos que estamos creando un token CSRF e inyectarlo en un formulario en la página sendmoney.php . ¿Qué impide al atacante enviar una solicitud a sendmoney.php para obtener el token CSRF y luego enviar el formulario? ¿Alguna...
hecha 28.10.2018 - 19:22
2
respuestas

¿Por qué la mayoría de las aplicaciones web utilizan el token CRSF como un método de prevención en lugar de validar a través del encabezado de origen?

¿Por qué se descubrió el token crsf en primer lugar? Siempre se puede verificar desde la solicitud generada por el encabezado de origen     
hecha 28.09.2018 - 10:54
1
respuesta

¿Cómo protege el Perímetro definido por software (SDP) contra ciertas amenazas que ocurren en el navegador?

He estado investigando un poco sobre SDP (Perímetro definido por software), pero aún no está claro cómo protege contra ciertos tipos de ataques. En Wikipedia dice que puede protegerse contra estos ataques: secuencias de comandos entre s...
hecha 02.09.2018 - 22:55
2
respuestas

¿Qué hacer con respecto a la vulnerabilidad en un producto SaaS que compro?

Trabajo para una universidad, donde formo parte del equipo responsable de integrar un Sistema de Gestión de Aprendizaje SaaS (por ejemplo: Moodle, Canvas) con el resto de los sistemas de la universidad. Hace dos meses, identifiqué un ataque C...
hecha 28.11.2018 - 02:04
1
respuesta

Mitigación basada en token o encabezado de origen

OWASP CSRF Prevention cheatsheet habla sobre dos mitigaciones populares para CSRF - Origen / Referr Comprobación de encabezado y basado en token. ¿Hay algún problema en la mitigación basada en la verificación de origen / referencia que podr...
hecha 10.08.2018 - 02:35
1
respuesta

Impedir CSRF en un sitio web público sin inicio de sesión

Estoy trabajando en un proyecto web que permite a una persona enviar un formulario de solicitud a mi API. Cada visitante puede enviar una solicitud a través de ese formulario sin iniciar sesión. Actualmente, la API genera un token cuando la p...
hecha 20.04.2018 - 04:55