Preguntas con etiqueta 'csrf'

preguntas con etiqueta
4
respuestas

Riesgos de seguridad distintos a los [cerrado]

Estoy trabajando en el sitio web de ASP.NET core MVC, y no sé si me estoy perdiendo algún riesgo de seguridad que deba vigilar (aparte de los lógicos) Aquí hay una lista de lo que he estudiado y lo que he hecho para protegerlo: Hombre en...
hecha 17.05.2017 - 19:14
1
respuesta

¿Es CORS y CSRF-tokens solo para las solicitudes POST y GET? [cerrado]

Tengo las siguientes preguntas con respecto a CSRF, SOP y CORS. ¿Los tokens CSRF solo protegen el envío de formularios con los métodos POST o GET? ¿Es esto solo una "práctica común" (en relación con el hecho de que solo los envíos de formul...
hecha 14.05.2018 - 11:43
2
respuestas

comprensión de la prevención CSRF

Estaba buscando información sobre los ataques CSRF y estoy pensando en el concepto de prevención "token de forma aleatoria". Digamos que cada formulario tiene un "token oculto" dentro y el servidor comprueba el token antes que nada. Ahora dig...
hecha 21.02.2014 - 13:29
3
respuestas

¿Cómo funciona XSS (remoto) (en CSRF)?

Acabo de leer un artículo sobre CSRF y menciona 3 vectores de ataque; XSS, enlaces manipulados y un exploid local. Mientras que los dos últimos métodos parecen posibles (para mí), no estoy seguro de cómo XSS jugará un papel aquí. Según mi...
hecha 03.11.2016 - 08:42
1
respuesta

¿Cómo me aseguro de que el usuario realmente autentificado realice una acción?

En mi aplicación (y sitio web), un usuario inicia sesión con su correo electrónico para realizar acciones como hacer un comentario en el sitio web con su nombre. Obviamente, es importante que las personas malintencionadas no puedan pretender ser...
hecha 30.11.2017 - 06:45
4
respuestas

Mecanismo de protección CSRF personalizado sin tokens persistentes

He tenido esta funcionalidad (protección csrf) desde hace bastante tiempo. Lo que nunca me gustó de esto es que guardó los tokens csrf en el archivo de sesión. Si bien puede que no sea un problema real, lo veo como un problema, ya que eventualme...
hecha 29.05.2015 - 21:31
2
respuestas

¿Es seguro este esquema anti-falsificación?

Para evitar ataques de falsificación de solicitudes entre sitios, estoy considerando el siguiente esquema: Para cada usuario, almacene una clave aleatoria. Si el usuario envía información "peligrosa", incluya un token de seguridad y una fecha...
hecha 20.03.2014 - 21:11
3
respuestas

CSRF es posible si los parámetros no se pasan a través de la cadena de consulta?

Estaba leyendo en página de OWASP en CSRF y en su ejemplo usan una solicitud donde los parámetros sensibles se almacenan en la cadena de consulta: http://bank.com/transfer.do?acct=MARIA&amount=100000 En mi sitio, hago una solicitud do...
hecha 21.08.2013 - 19:37
1
respuesta

¿Cómo puedo evitar las solicitudes desde la consola del navegador mientras sigo usando ajax? [duplicar]

Tengo un punto final de API disponible públicamente. Tengo que evitar que un simple script $ .ajax descargue todos los datos expuestos en cuestión de segundos y al menos forzar una actualización de la página cada vez que se envíe una nueva sol...
hecha 20.10.2017 - 22:48
2
respuestas

¿Es este un verdadero ataque CSRF?

He estado arreglando una aplicación de formularios web de asp.net que tiene una serie de vulnerabilidades que fueron descubiertas por una empresa de pruebas de lápiz externa. Recientemente he implementado una cookie de envío doble con la bibl...
hecha 15.12.2017 - 01:24