Preguntas con etiqueta 'csrf'

preguntas con etiqueta
1
respuesta

¿cómo probar csrf si la aplicación web no está usando tokens y no hay usuarios definidos para esa aplicación?

Estoy probando una aplicación que no usa tokens anti-csrf para sus solicitudes. No hay usuarios definidos para esta aplicación también. Bueno, en ese caso, ¿cómo llevar a cabo las pruebas de csrf en esta aplicación en particular?     
hecha 12.06.2015 - 11:01
2
respuestas

¿Se considera un CSRF si requiere un identificador único que no es un token CSRF, no está vinculado a la sesión del usuario?

Considere un punto final como el siguiente. Imaginemos que este punto final actualiza una dirección del usuario que inició sesión, cambiando el código postal. La dirección a actualizar se identifica mediante la ID de la dirección ( kUj3Nkg10...
hecha 29.11.2014 - 16:22
1
respuesta

¿Por qué Oauth2 redirect_uri puede ser un URI no https?

Estoy creando un sitio pequeño que me gustaría integrar con LinkedIn para la autenticación. LinkedIn dice que redirect_uri puede ser http: // o https: // (no tener que pagar por un certificado es realmente increíble en este momento) Al revisa...
hecha 15.08.2014 - 00:30
1
respuesta

Navegadores modernos, ¿seguro para ignorar CSRF?

Para los usuarios que usan navegadores modernos, ¿es seguro asumir que no podrán ser secuestrados a través de CSRF y similares? Si no es así, ¿qué tan probable es que se produzca un ataque?     
hecha 20.12.2014 - 18:48
1
respuesta

¿Impedir CSRF utilizando ViewState?

Según OWASP puede evitar CSRF en una aplicación ASP.NET si incluye el SessionID en el ViewState. Del artículo:    Viewstate se puede usar como una defensa CSRF, ya que es difícil para un   atacante para forjar un Viewstate válido. No es imp...
hecha 22.04.2014 - 01:33
1
respuesta

manejar el usuario-sesión-cookie y el token csrf correctamente para la aplicación javascript

Tengo una aplicación web de django que sirve puntos finales api y una aplicación web javascript que se comunica con esos puntos a través de ajax. Están bajo el mismo dominio pero en diferentes puertos. api del servidor ---- www.ejemplo.com:9...
hecha 12.12.2013 - 22:48
2
respuestas

¿Es seguro omitir las comprobaciones CSRF para no navegadores?

Estaba implementando un mecanismo de protección CSRF para mi servidor cuando me di cuenta de que este ataque solo afecta realmente a los navegadores web. Me pregunto: ¿por qué debería molestarme en generar / validar tokens CSRF para clientes que...
hecha 27.06.2014 - 06:10
0
respuestas

¿Deben almacenarse tokens confidenciales en localStorage o una cookie HTTPOnly?

En el contexto de una aplicación web ... los tokens confidenciales, como los utilizados para sesiones, autenticación y / o autorización, deben almacenarse en localStorage o en una cookie HTTPOnly; ¿O son ambos enfoques aceptables en diferentes...
hecha 11.12.2018 - 08:55
3
respuestas

¿Es suficiente verificar los encabezados del Referer y del Origin para evitar el CSRF, siempre que las solicitudes con ninguno de los dos sean rechazadas?

¿Es posible prevenir el CSRF comprobando los encabezados de origen y de referencia? ¿Es esto adecuado, siempre que las solicitudes con ninguno de los dos estén bloqueadas?     
hecha 25.04.2017 - 02:48
3
respuestas

¿Debo usar protección CSRF en los puntos finales de la API Rest?

Nota rápida: este no es un duplicado de protección CSRF con encabezados personalizados (y sin el token de validación) a pesar de algunos solapamientos. Esa publicación explica cómo realizar la protección CSRF en los puntos finales de descans...
hecha 03.08.2017 - 20:41