Preguntas con etiqueta 'csrf'

preguntas con etiqueta
1
respuesta

cookies Django, ajax y HttpOnly

Mientras leía "Web enredada" encontré una descripción de las cookies http solo y quería probarla en mi proyecto, así que agregué estas configuraciones de acuerdo con docs : CSRF_COOKIE_HTTPONLY = True SESSION_COOKIE_HTTPONLY = True Y fui a...
hecha 20.02.2018 - 00:06
1
respuesta

Proporcionar el token CSRF al front-end, si no está presente en los encabezados de solicitud

Tengo una aplicación web en la que, cuando los usuarios solicitan una página, se genera un token CSRF y se inyecta en la página jsp en un campo oculto input . El mismo token se envía al servidor para cada llamada AJAX en u...
hecha 24.01.2018 - 11:42
2
respuestas

CSRF con caracteres especiales en el nombre del parámetro

Estoy copestando una aplicación web que no usa un token anti-CSRF, pero usa parámetros cuyos nombres contienen dos puntos. Uno de los parámetros es, por ejemplo, _pt1:p1:1:pc1:pageToolbar:t_id_ . Cuando hago la página de envío automátic...
hecha 22.10.2017 - 23:03
1
respuesta

¿Se requiere la validación del token CSRF para el método http que no sea POST y GET? [duplicar]

Si configuro acciones para que los usuarios registrados se realicen a través de métodos HTTP que no sean GET o POST , entonces las solicitudes HTTP de Javascript que respeten la Política del mismo origen (SOP) o el Intercambio de...
hecha 27.01.2018 - 19:13
1
respuesta

¿Es seguro reutilizar el token CSRF de una cookie existente (para una nueva pestaña en el navegador)?

Tenemos un sistema que realiza una solicitud asíncrona al backend para obtener CSRF (a través de AJAX). La respuesta del servidor es una nueva cookie y un encabezado que recordamos en javascript y usamos más adelante. Todo funciona bien hasta...
hecha 11.10.2017 - 14:12
1
respuesta

¿Desea omitir la protección de "cookie de envío doble"?

¿Es posible que un atacante falsifique el token / cookie de envío doble, cuando el primer token / cookie está en el encabezado de la cookie y el segundo token / cookie está en los parámetros del cuerpo? Sí, hay una forma de usar XSS, pero ¿no...
hecha 03.11.2017 - 05:22
1
respuesta

CSRF Protección para API JSON con autenticación de cookie [duplicado]

Estoy creando la API para un complemento de SPA y Chrome con Rails, y estoy dispuesto a usar cookies seguras de HTTPOnly para la autenticación porque: Esta es la solución predeterminada para las bibliotecas de autenticación de Rails estánd...
hecha 26.08.2017 - 08:45
1
respuesta

¿Cuál es el beneficio adicional de tener un token CSRF para un enlace de activación de cuenta?

Tenemos una aplicación web sencilla donde un usuario tendrá que crear una cuenta. Para verificar su dirección de correo electrónico (que se usará para enviar notificaciones más adelante con fines comerciales, que es una de las funciones principa...
hecha 03.08.2017 - 11:49
1
respuesta

¿Es posible leer la respuesta de la solicitud HTTP sin XHR?

Estoy probando una aplicación y me encuentro con una solicitud GET que devuelve información confidencial en el cuerpo de la respuesta. (El token CSRF se validará para la próxima solicitud). Como es una solicitud GET, el desarrollador omitió la p...
hecha 03.08.2017 - 10:37
2
respuestas

Cómo obtener el token CSRF en la solicitud de autorización con OWASP ZAP en modo de fuerza bruta

Soy nuevo en OWASP ZAP, por lo que necesito tu ayuda. Tengo sitio de vulnerabilidad - DVWA. Estoy tratando de trabajar en el token (CSRF) en bruteforce. Cuando se carga la página, tengo un formulario HTML con inicio de sesión, contraseña y...
hecha 31.01.2017 - 12:56