Preguntas con etiqueta 'csrf'

preguntas con etiqueta
2
respuestas

pregunta de seguridad JWT y CSRF TOKEN

Supongamos que he creado un sitio web que, en cada solicitud a la API, permite enviar token JWT y token CSRF. Así que vamos a crear un caso así: He iniciado sesión en el usuario A y hago una solicitud ajax a la API con el token JWT y CSRF. Vo...
hecha 16.03.2017 - 18:18
1
respuesta

¿Es posible CSRF contra una descarga de PDF que requiere autenticación de cookies?

Un sitio en el que trabajo tiene un enlace que descarga y abre un PDF que contiene datos confidenciales del usuario. La cookie de autenticación del usuario está marcada en el servidor para asegurar que tengan acceso a los datos antes de generar...
hecha 24.10.2017 - 15:59
1
respuesta

¿Cómo enviar una solicitud de publicación donde es necesario iniciar sesión?

En primer lugar, esto está en seguridad de la información porque la solicitud puede ser vulnerable si puedo averiguar cómo ejecutarlo. Segundo, el problema real. Intercepté y copié una solicitud de publicación en un sitio de redes sociales si...
hecha 23.01.2017 - 04:47
1
respuesta

¿Cómo validar el token CSRFGuard en el lado del servidor?

He implementado la biblioteca OWASP CSRFGuard para proteger mi aplicación contra los ataques CSRF. Estoy utilizando el archivo y el servlet de JavaScript CSRFGuard para inyectar tokens CSRF en todas las solicitudes Ajax. Hasta ahora estoy viendo...
hecha 30.12.2016 - 19:00
1
respuesta

¿Por qué Google no bloquea el cierre de sesión CSRF?

Google es un ejemplo famoso de no bloqueando CSRF en páginas de cierre de sesión / cierre de sesión.    Algunos reporteros de vulnerabilidades se ponen en contacto con nosotros sobre la posibilidad de cerrar sesión   Usuarios de Google me...
hecha 13.10.2016 - 01:18
1
respuesta

¿Los servicios web son vulnerables a CSRF?

Estoy probando una aplicación de Android, usa servicios web para cada acción, así que vi que las solicitudes no tienen tokens u otro mecanismo anti-automatizado, solo necesitan validar un token para identificar la sesión, luego cómo ¿Puedo proba...
hecha 16.04.2016 - 04:49
1
respuesta

Preocupaciones de seguridad del punto final de eco HTML

Considere un sitio web con un punto final que, cuando una carga útil de una cadena HTML (documento completo o segmento parcial) es POST, el servidor transformará la carga útil (y algunas veces no se aplica ninguna transformación) y devolverá la...
hecha 20.01.2016 - 23:23
1
respuesta

Cerrar sesión CSRF Protección [duplicado]

Estoy haciendo un CMS y tengo una protección CSRF en la configuración, nuevo artículo. ¿Debo también poner esta protección en el cierre de sesión?     
hecha 27.12.2015 - 21:56
1
respuesta

Patrón de token cifrado CSRF: ¿necesita 'nonce'?

Para el patrón de token cifrado anti-CSRF, la OWASP page describe la página anterior El token cifrado se compone de tres elementos: el ID del usuario, un valor de marca de tiempo y un nonce. La necesidad programática de los dos primeros es...
hecha 12.11.2015 - 21:38
2
respuestas

CSRF mediante la manipulación de encabezados HTTP desde el lado del cliente con JavaScript

Estoy intentando hacer un análisis de vulnerabilidad CSRF para mi sitio web. Mi sitio web utiliza un token anti-CSRF que es enviado por el servidor al cliente con la cookie de sesión y luego Javascript en el cliente lo extrae de la cookie y lo a...
hecha 18.09.2015 - 12:41