Preguntas con etiqueta 'csrf'

preguntas con etiqueta
1
respuesta

localStorage vs. HTTP-Only Cookies + XSRF: ¿Es mejor cuando se trata de XSS?

Si tuviera que implementar un patrón de conexión OpenID común en un SPA, podría tener la siguiente relación: Auth server <-----------> Client (browser) <-----------> App API server El usuario sería redirigido al servidor de aute...
hecha 30.11.2017 - 19:40
4
respuestas

Cómo protege el token aleatorio contra CSRF

En general, sabemos que un token aleatorio agregado a cada solicitud es una buena solución contra CSRF. Pero, ¿con qué exactitud funciona? El servidor web genera el token, lo envía al cliente en forma oculta, luego este token se agrega a la soli...
hecha 18.07.2017 - 23:24
1
respuesta

Cuándo y cómo generar nonce para URL

Tengo una url con un parámetro $ _GET que permite eliminar un registro en mi base de datos, por ejemplo. localhost / app / delete.php? id = 4843. La página delete.php solo verifica si el usuario ha iniciado sesión y si es el propietario del r...
hecha 31.10.2017 - 17:18
1
respuesta

¿Tiene sentido el token de Anti-falsificación si las solicitudes de origen cruzado no son compatibles?

Si mi sitio solo responde a solicitudes de su propio dominio, ¿tiene sentido implementar tokens CSRF en mis solicitudes? Creo que es el sitio cruzado en CSRF lo que me lleva a hacer esta pregunta. Si solo se ignoran las solicitudes entre s...
hecha 01.08.2017 - 11:00
1
respuesta

¿Es segura la siguiente forma de implementar los tokens csrf?

Estoy usando una aplicación java / scala para escribir un servidor web (con fines de aprendizaje, por lo que no se permiten marcos). Pensé en la siguiente manera de implementar tokens csrf, pero no estoy seguro de si es seguro: 1 en cada pági...
hecha 13.06.2017 - 12:19
1
respuesta

Protegiendo contra CSRF, JWT, dominio cruzado

Tengo una aplicación pesada frontend con una api de descanso en node.js. La aplicación y el backend están en diferentes hosts. Además, se puede acceder a la aplicación con http y https. La razón por la cual se trata de contenido mixto: los usuar...
hecha 28.05.2017 - 13:32
1
respuesta

¿Cómo le explicaría el token CSRF a un novato? ¿Cómo es más seguro que el enfoque basado en cookies?

Tengo una comprensión bastante básica de ambos enfoques, pero solo busco una explicación mejor, supongo. He visto algunos ejemplos de ataques CSRF, utilizando tokens CSRF, cómo los marcos como Ruby on Rails, Symfony2, etc. han incorporado la...
hecha 24.03.2017 - 04:15
1
respuesta

¿Necesita la gente apuntar a un sitio específicamente con un ataque CSRF?

Digamos que tenemos un sitio web legítimo A y un sitio web malicioso B. Tengo razón al suponer que para el sitio B malicioso al sitio A de destino con un CSRF, ¿debe haber sido creado específicamente para este propósito? Significa que tal...
hecha 23.02.2017 - 21:07
2
respuestas

El mismo token CSRF para la navegación de múltiples pestañas

Tengo un pequeño problema con respecto a mi función de token CSRF (cambia el token cada solicitud). Aquí está el escenario de mi problema: Cuando abrí 2 páginas (con el mismo token CSRF), cuando abro la primera página y envío el formulario al...
hecha 16.09.2016 - 07:47
2
respuestas

Activación de Javascript por cadena de agente de usuario. CSRF o XSS?

He leído varios libros de seguridad de PHP, pero después de leer uno me confundí acerca de la definición de CSRF (falsificación de solicitud entre sitios). Wikipedia lo explica así:    A diferencia de los scripts entre sitios (XSS), que aprov...
hecha 30.07.2016 - 15:57