Preguntas con etiqueta 'csrf'

preguntas con etiqueta
0
respuestas

ViewStateUserKey .NET CSRF protection

En una aplicación web PHP típica, agregas un token CSRF oculto en cada formulario y este token se valida cuando la solicitud se envía en el lado del servidor. Estoy realizando una prueba de penetración en una aplicación .NET y quiero aprender...
hecha 01.03.2018 - 14:04
0
respuestas

La comprobación CSRF de origen falla en la carga de la página

Estoy tratando de crear un filtro genérico para muchas aplicaciones donde el desarrollador especificaría de qué orígenes quieren aceptar solicitudes y mi filtro haría una verificación de origen para evitar el CSRF. Sin embargo, en la carga de la...
hecha 02.02.2018 - 08:34
0
respuestas

¿El CSRF sin estado de Paypal ya no es compatible con Express?

Mi pregunta es sobre paypals csrf sin estado: enlace Esta solución csrf obliga al usuario a poner el token en el encabezado. ¿Hay alguna razón de seguridad por la cual el token debería estar en el encabezado? Si los datos solicitados en...
hecha 13.03.2018 - 11:19
0
respuestas

¿Diferencia entre CSRF con flash y XHR?

Cuando un sitio web utiliza el encabezado X-Requested-With en la solicitud, ¿por qué impide el CSRF? Podemos explotarlo, pero solo con el csrf con un archivo flash y una redirección? ¿Por qué? ¿Hay alguna forma de explotarlo? ¿Te gusta...
hecha 01.10.2017 - 14:38
0
respuestas

Ouath2 SSO con SPA usando proxy

Tengo una aplicación de una sola página (lado del cliente) que interactúa con un conjunto de API de respaldo backend: arquitectura de microservicios, para lograr el SSO, usé el protocolo Oauth2 (implementación de Spring). Ahora, para evitar l...
hecha 28.01.2018 - 10:02
2
respuestas

Sesiones invitadas y CSRF [duplicado]

¿Qué se considera una práctica común para limitar la caducidad de la sesión para usuarios no autenticados? La razón por la que utilizamos una sesión para invitados es para evitar las solicitudes de falsificación entre sitios cuando los invitad...
hecha 12.07.2017 - 23:13
3
respuestas

¿Cómo se correlaciona CSRF con la política del mismo origen?

Estoy tratando de entender qué roles desempeñan CSRF y el mismo origen en el gran esquema de las cosas. Con CSRF, puedo hacer prácticamente cualquier cosa en otros sitios web de clientes al realizar solicitudes. La Política de Origen del Mismo (...
hecha 10.04.2017 - 07:14
0
respuestas

vulnerabilidad de CSRF en la aplicación web Oracle ADF

Estoy copestando la aplicación web Oracle ADF. Una de las solicitudes para eliminar algunos contenidos consiste en parámetros como _adf.ctrl-state y javax.faces.ViewState , que parecen ser números aleatorios, activos solo durante un...
hecha 23.10.2017 - 15:37
0
respuestas

¿Cómo funcionan las señales de falsificación de solicitud contra sitios cruzados?

¿Puede alguien explicar cómo funcionan los tokens CSRF en términos simples? ¿Por qué debería guardarse el token CSRF en una cookie de sesión y en un campo de formulario oculto?     
hecha 23.06.2016 - 09:29
1
respuesta

El sitio web no proporciona cookies (csrf token) cuando se conecta a través de un proxy. ¿Por qué / cómo?

El siguiente código de Python debería capturar un CSRF toka> cookie de Instagram.com, pero recibo un mensaje de error al ejecutar el programa a través de cualquier tipo de proxy HTTPS o SOCKS5, informándome que no se proporciona la cookie CSRF....
hecha 18.04.2016 - 13:45