Preguntas con etiqueta 'csrf'

preguntas con etiqueta
1
respuesta

¿Por qué los patrones de token de sincronización y de cookie a encabezado no son naturales para las API web?

He escuchado que las técnicas de prevención CSRF no son naturales para las API web. Por ejemplo, podríamos tener una aplicación cliente en el dominio A que implementa tanto el Patrón de token de sincronización y el Cookie-to -Patrón de cabec...
hecha 29.09.2016 - 19:40
1
respuesta

tokens anti CSRF con una caja negra

Considere una aplicación que desarrolle que use algo como la biblioteca OWASP CSRFGuard. ¿Qué se puede hacer para protegerse contra XSS si la aplicación llama a una aplicación de caja negra de terceros que no tiene manera de almacenar y devolver...
hecha 09.06.2016 - 23:00
2
respuestas

explotando CSRF en una solicitud ajax a través de la falla XSS

En una aplicación que estoy probando, hay un defecto XSS almacenado. Ahora, estaba probando para CSRF y construí una página HTML con un javascript que envía la solicitud ajax (XHR). Provocó una solicitud previa al vuelo y luego el navegador dice...
hecha 02.06.2016 - 16:08
2
respuestas

Necesita ayuda para comprender las vulnerabilidades de OWASP [cerrado]

Estoy haciendo un informe técnico sobre la simplificación de las vulnerabilidades de OWASP 10 basado en un artículo que sugirieron nuestros maestros. ¿Pueden ustedes ayudar o proporcionar más recursos aquí? ¿Cuáles son tus puntos de vista? Tambi...
hecha 07.07.2016 - 13:08
1
respuesta

¿Protege el HTTPS de la sesión?

En un escenario típico de session riding , el atacante engaña a la víctima para que envíe una solicitud HTTP a un sitio web en el que ya ha iniciado sesión. Por ejemplo, engañar a la víctima para que haga clic en un enlace para desencadenar un...
hecha 20.07.2016 - 17:48
1
respuesta

¿El encabezado personalizado para la protección CSRF invalida la protección CSRF?

Se solicita una prueba de penetración en uno de los sitios web. He implementado OWASP CSRF Guard en el sitio web. Utiliza encabezados personalizados para la protección CSRF para AJAX. Esto se marcó con mensaje de asunto. No se da ninguna explica...
hecha 19.08.2015 - 18:02
1
respuesta

¿Es seguro compartir un token CSRF entre aplicaciones de Rails?

Utilizamos un proxy inverso nginx para alojar dos aplicaciones Rails bajo el mismo dominio (un /path conduce a otra aplicación 'secundaria'). La aplicación 'secundaria' que vive bajo una ruta consume las API REST de la aplicación 'prin...
hecha 17.08.2015 - 19:33
1
respuesta

¿Qué factores hacen que el código de la aplicación de Android sea vulnerable a los ataques de falsificación de solicitudes entre sitios?

Según techtarget.com La falsificación de solicitudes entre sitios es:    un método para atacar a un   Sitio web en el que un intruso se enmascara como legítimo y confiable.   usuario. Se puede usar un ataque XSRF para modificar la confi...
hecha 23.05.2015 - 00:30
1
respuesta

Guardia de CSRF: ¿Inyecta el token en la solicitud POST?

He implementado CSRF Guard en mi aplicación web. Está funcionando bien para las solicitudes GET (con AJAX y sin AJAX) sin embargo, para el token de solicitud POST no se inyecta en la solicitud, por eso CSRF guarda una excepción: Token is miss...
hecha 20.12.2014 - 13:38
1
respuesta

CSRF Guard - ¿Puede proteger también la llamada de servicio?

Estoy implementando CSRF guard en mi aplicación web. He hecho toda la configuración requerida y puedo ver que el token se genera / inyecta en el encabezado de la solicitud. Déjame decirte un poco la arquitectura de la aplicación, tengo página...
hecha 16.12.2014 - 14:50