Preguntas con etiqueta 'csrf'

preguntas con etiqueta
0
respuestas

Pago automático a través de API

Estoy creando un juego similar al trivial de HQ, que cuando alguien da todas las respuestas correctas al final del juego, recibe el dinero que se envía a su cuenta de Paypal, mi preocupación es obviamente la seguridad. El juego enviará una so...
hecha 06.10.2018 - 10:56
0
respuestas

Protección CSRF y aplicaciones de una sola página alojadas en S3 (sin backend).

Tengo una aplicación web escrita en js que se ejecuta en AWS S3. No hay manera de inicializar un token CSRF seguro en la carga de la página, ya que no hay un servidor de fondo. El token se debe recuperar a través de una llamada AJAX a mi servido...
hecha 28.08.2018 - 01:45
1
respuesta

Pruebas CSRF. Error de validación 422. Configuración regional requerida

Por lo tanto, estoy probando este sitio en busca de cursos y creo que podría ser CSRF vulnerable. Sin embargo, cuando intento realizar una solicitud posterior, recibo un error de validación que dice que se requiere "locale" a pesar de que lo esp...
hecha 22.08.2018 - 18:15
2
respuestas

¿Qué hacer después de rechazar un token CSRF no válido?

Estoy implementando la protección CSRF (usando la biblioteca CSRF de Symfony), y me pregunto qué respuesta enviar a los clientes al recibir un token no válido. Actualmente tenemos una sesión que dura 30 días y queremos que el token CSRF caduq...
hecha 22.03.2018 - 16:55
1
respuesta

¿Qué tan específicamente debo implementar la protección CSRF?

Hay un montón de artículos que explican qué es CSRF y que debo usar un token de CSRF para evitar CSRF. Algunos de ellos mencionan detalles como el uso de SHA256 sobre MD5. Sin embargo, ninguno de ellos explica cómo implementar la protección CSRF...
hecha 08.03.2016 - 19:22
0
respuestas

¿Cómo puede / guardar un nombre de usuario / contraseña en un navegador web específicamente ser una amenaza para los ataques CSRF?

En un curso de capacitación de certificación en línea reciente, el instructor enumeró específicamente "No guardar el nombre de usuario / contraseña en el navegador" como una estrategia de mitigación CSRF (entre otras). Entiendo por qué...
hecha 31.01.2018 - 16:38
1
respuesta

¿Por qué se permiten las solicitudes POST entre dominios? [duplicar]

Entiendo que la mejor práctica es usar tokens para evitar el CSRF, pero ¿por qué los navegadores permiten las solicitudes POST entre sitios en primer lugar? Parece que dar a las personas que no son de confianza acceso de escritura sin restricc...
hecha 11.06.2018 - 05:50
1
respuesta

tokens CSRF en las cookies?

He visto que algunos sitios web usan tokens CSRF en el campo de cookies como _csrf=123abc y no como un encabezado separado o como parte de los datos POST. Mi pregunta es, cuando el sitio web de un atacante realiza una solicitud de CSRF con...
hecha 04.04.2018 - 22:55
0
respuestas

Protegiendo un api-token solo con autenticación de cookies

Tengo una página web que proporcionará un objeto JSON de un api-token si se proporciona una cookie de sesión válida de un usuario registrado. Si un atacante obtiene este api-token, ahora tiene el control total sobre ese usuario hasta sus permiso...
hecha 14.03.2018 - 22:58
0
respuestas

¿Es seguro implementar la autenticación JWT con cookies, versiones de token y sin tokens de actualización?

Tengo algunas preguntas sobre mi implementación de seguridad de token de portador (JWT para ser específico) en un proyecto de asp.net core 2.0 en el que estoy trabajando. El token de portador se usa cuando la aplicación web frontend se comunica...
hecha 09.01.2018 - 14:04