Preguntas con etiqueta 'csrf'

preguntas con etiqueta
1
respuesta

Vulnerabilidad de CSRF en la interfaz web de hardware CGI / shell script

Tengo una interfaz web para un hardware que se utiliza principalmente para reiniciar el hardware. El reinicio solo lo puede realizar un usuario autenticado. La interfaz web está escrita en CGI / shellscript. No utiliza ninguna sesión / cookies....
hecha 25.06.2014 - 05:35
4
respuestas

ataque csrf cuando la víctima no ha iniciado sesión

Si un atacante envía un código malicioso para el evento de cambio de estado a una víctima y la víctima abre ese enlace malicioso y hace clic en el botón de envío, ¿puede ocurrir el ataque cuando el usuario no ha iniciado sesión en la aplicación...
hecha 16.01.2015 - 11:48
1
respuesta

Protección de CSRF basada en sesión de Cookie +

Considere el siguiente escenario: 1. Cuando el usuario visita una aplicación web, el servidor: a) inicializa la sesión; b) genera el token CSRF; c) guarda el token en la sesión; d) guarda el token en la cookie del cliente median...
hecha 09.02.2014 - 14:50
1
respuesta

Estructura de archivos al usar el token

Estoy usando un token de formulario para asegurar el proceso de validación de mi archivo php. Básicamente, la estructura del archivo php tiene este aspecto: if ($_POST) {//form has been submitted? if (validateFormToken) { //pro...
hecha 27.11.2013 - 19:20
1
respuesta

No estoy convencido de la seguridad de un token JWT + token CSRF

Supongamos que tengo una aplicación web que utiliza tokens JWT y tokens CSRF en su esquema de autenticación. Como lo entiendo, funciona así: Cuando un usuario inicia sesión, el cliente envía una solicitud de inicio de sesión. El servidor...
hecha 30.11.2018 - 00:29
1
respuesta

token CSRF para la aplicación de servicio de API

Actualmente, mi arquitectura es la siguiente. la API se sirve desde api.domain.com . La aplicación de interfaz se sirve desde frontend.domain.com . Estoy considerando dos métodos diferentes para la protección CSRF: Permi...
hecha 04.04.2018 - 08:35
2
respuestas

Encabezado de referencia y origen de CSRF ¿simplemente verifica el host?

Nota: esta pregunta no es lo mismo que el posible duplicado vinculado. Esa pregunta le pregunta a cómo verificar el encabezado de origen / referencia contra CSRF. Estas preguntas preguntan cómo implementar los detalles específicos. Veo much...
hecha 06.08.2018 - 01:50
1
respuesta

Un token CSRF y un ID de sesión diferentes pasados en la solicitud [cerrado]

Un token CSRF es lo que un servidor incluye en su respuesta, que es el mismo token que se pasa en la solicitud del usuario. En mi caso, un token CSRF diferente se incluye en la solicitud, lo que genera un error 403 Prohibido. A lo largo de...
hecha 19.09.2018 - 23:03
1
respuesta

Si los tokens CSRF están incrustados en etiquetas meta, ¿cómo ofrecen seguridad?

Si alguien está usando mi sitio web y cierra una pestaña, el token CSRF ahora se ha ido del lado del cliente, porque estaba incrustado en la página. Si esa misma persona abre el sitio en una nueva pestaña, la página se entregará con el token CSR...
hecha 19.07.2018 - 14:23
1
respuesta

Prevención de CSRF / XSS en la API compartida de web / móvil

He heredado una base de código que incluye un dispositivo móvil & aplicación web que accede a la misma API y se ha encargado de solucionar algunos de los agujeros de seguridad que existen, desafortunadamente no estoy bien versado en el tema....
hecha 04.04.2018 - 20:08