Preguntas con etiqueta 'csrf'

preguntas con etiqueta
8
respuestas

¿Por qué actualizar el token CSRF por solicitud de formulario?

En muchos tutoriales y guías veo que un token CSRF debe actualizarse por solicitud. Mi pregunta es ¿por qué tengo que hacer esto? ¿No es un solo token CSRF por sesión mucho más fácil que generar uno por solicitud y realizar un seguimiento de los...
hecha 20.10.2012 - 13:15
1
respuesta

¿El token anti-CSRF realmente protege de CSRF? [duplicar]

He estado leyendo en todo el Internet que debería tener el token CSRF en mi página y esto lo protegerá de CSRF. Sin embargo, puedo imaginar un escenario en el que anti-CSRF no es útil. ¿Está mal mi entendimiento en alguna parte? El escenari...
hecha 12.08.2015 - 22:25
0
respuestas

problema de sintaxis de script XSS

Tengo un servidor que se ejecuta en el puerto 4444 en localhost que simplemente hace eco de los mensajes que recibe. Tengo un script JS incrustado en un mensaje que se supone que envía las cookies de quien lo mire. Aquí está...
hecha 12.10.2015 - 05:07
1
respuesta

¿Cómo usar un token para diferenciar entre un usuario registrado registrado y un ataque?

Tomemos el ejemplo de que ya he iniciado sesión en, por ejemplo, LinkedIn. Cuando accedo a LinkedIn en una nueva pestaña, automáticamente se registra (usando información de cookies). Ahora, supongamos que visito un foro y, a través de una imagen...
hecha 05.03.2014 - 19:40
3
respuestas

¿Debo darle al token de csrf un nombre descriptivo?

Personalmente quiero llamar al elemento _DO_NOT_give_this_security_thingy_to_anybody_ever . Un escenario de ejemplo es que algunos ingenieros sociales inteligentes quieren que el usuario ejecute un "agregar un amigo" malicioso y encuentre...
hecha 06.08.2014 - 09:34
1
respuesta

XSS y CSRF - diferencia básica [duplicado]

Si bien todo el método de ataques XSS y CSRF es totalmente diferente, la principal diferencia es que: XSS: ejecuta un script en el navegador CSRF: envía una solicitud (HTTP) desde el navegador. ¿Es correcto (una respuesta con Sí o No...
hecha 16.06.2017 - 14:23
1
respuesta

XSS - Correo electrónico sospechoso de Itunes - GF se abrió accidentalmente

Mi novia recibió un correo electrónico aleatorio de iTunes que dice que ella había comenzado una nueva suscripción, es un correo electrónico muy convincente hasta una inspección más cercana. De todos modos, hizo clic en el enlace que se encuentr...
hecha 28.04.2017 - 16:46
2
respuestas

CSRF de alto nivel

He estado haciendo un poco de dvwa (aplicación web muy vulnerable) y tengo una pregunta sobre CSRF. Hay un parámetro adicional, un token csrf, que se envía en la solicitud de obtención. Todas las respuestas que vi en la web utilizan xss para...
hecha 08.11.2018 - 18:40
1
respuesta

Hosting Token CSRF en la URL

Al implementar la protección CSRF, generalmente se usa una cookie CSRF que debe incluirse en el cuerpo de la solicitud. Esto evita los ataques CSRF porque el sitio web malicioso no puede leer las cookies del otro sitio web. ¿Esto significa qu...
hecha 24.06.2016 - 23:26
1
respuesta

Mecanismo de seguridad para el pago rápido (sin cookies / ID de sesión)

Estoy implementando el pago rápido en mi tienda electrónica. El cliente solo tiene que ingresar el correo electrónico y el número de teléfono para realizar un pedido, el sistema verifica si el cliente con dichos campos ya está registrado, si...
hecha 11.11.2016 - 21:14