Preguntas con etiqueta 'csrf'

preguntas con etiqueta
2
respuestas

¿Por qué Double Submit Cookies requiere una cookie separada?

Según enlace :    Cuando un usuario se autentica en un sitio, el sitio debe generar un valor pseudoaleatorio (criptográficamente sólido) y configurarlo como una cookie en la máquina del usuario separada de la ID de sesión . (énfasis mío...
hecha 16.06.2014 - 05:36
2
respuestas

¿Los sitios RESTful son seguros contra los ataques CSRF?

Tengo un debate con un compañero de trabajo sobre si nuestro sitio es vulnerable a los ataques CSRF. Está diciendo que, dado que estamos utilizando las solicitudes AJAX RESTful para todo lo que CSRF no es posible. Diga que una solicitud para act...
hecha 18.09.2013 - 22:37
3
respuestas

¿Cómo debe responder una página web a un ataque CSRF?

Sé que utilizas tokens para prevenir CSRF, pero ¿cómo debería responder la página receptora cuando es atacada? ¿Debería fallar en silencio, fingiendo que la transacción fue exitosa? ¿Mostrar un mensaje de error? ¿Registrar el ataque? Por favo...
hecha 28.10.2011 - 07:48
2
respuestas

CSRF con JSON POST cuando Content-Type debe ser application / json

Estoy probando una aplicación web para la cual se realizan acciones comerciales mediante el envío de solicitudes JSON como por ejemplo: POST /dataRequest HTTP/1.1 Host: test.com User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:55.0) Gecko/2...
hecha 01.10.2017 - 18:53
1
respuesta

Estado actual de la cookie SameSite

Recientemente conocí el atributo de cookie SameSite que se usa para mitigar los ataques CSRF. El atributo AFAIK SameSite para cookies se implementa en Chrome y en algunos otros navegadores. Desde que estoy usando el servidor Tomcat para implemen...
hecha 13.06.2018 - 08:18
2
respuestas

Protección CSRF para AJAX cuando se usan varias pestañas del navegador

Digamos que tengo esa aplicación web que tiene una protección CSRF de acuerdo con Patrón del token del sincronizador . El servidor espera un token CSRF válido en cada solicitud POST cuando el usuario está autenticado. Ahora imagine el siguiente...
hecha 12.11.2012 - 09:04
3
respuestas

problemas de seguridad en el almacenamiento JWT

Estoy creando un mecanismo de inicio de sesión JWT para un sitio. Hay dos opiniones muy opuestas sobre cómo almacenar el JWT. Stormpath jura por las cookies httponly: enlace Auth0 jura por localStorage: enlace Al principio me puse del...
hecha 12.01.2017 - 13:41
2
respuestas

hojas de estilo personales

En referencia a esta pregunta , estaba investigando si habría o no seguridad riesgos al permitir a los usuarios agregar sus propias hojas de estilo. Muestra un escenario en el que un desarrollador puede usar posiciones para reemplazar el cam...
hecha 15.12.2015 - 06:23
2
respuestas

¿Las aplicaciones del teléfono son vulnerables a XSS o CSRF? (Webview, Phonegap, chrometab)

Necesito proporcionar evidencia de que CSRF o XSS es posible en un teléfono ... usando PhoneGap, una vista web o específicamente una "pestaña de Chrome" o equivalente de iOS. Creo que, en teoría, esto es posible, y se necesita mitigación, per...
hecha 07.06.2015 - 04:06
4
respuestas

¿Puede el token anti-CSRF evitar el ataque de fuerza bruta?

No tengo mucha experiencia con ataques de fuerza bruta pero me estaba preguntando Supongamos que tiene un sitio web www.example.com y desea realizar un ataque de fuerza bruta en ese formulario de inicio de sesión, pero ese formulario de ini...
hecha 21.09.2014 - 05:05