Preguntas con etiqueta 'csrf'

2
respuestas

¿Cómo se protegen contra ataques CSRF el envío de encabezados HTTP de referencia?

¿Cómo protege el envío de encabezados HTTP de referencia contra los ataques CSRF? Intenté iniciar sesión en un sitio HTTPS con network.http.sendRefererHeader de Firefox establecido en 0 deshabilitado, como medida contra el seguimiento), y d...
hecha 02.09.2016 - 00:48
1
respuesta

¿cómo podemos encontrar la vulnerabilidad CSRF en un sitio web?

He oído que no hay herramientas específicas disponibles para probar y descubrir la vulnerabilidad CSRF de un sitio web. Entonces, desde el punto de vista de los evaluadores de seguridad, ¿cómo probar la vulnerabilidad CSRF?     
hecha 18.09.2014 - 07:19
1
respuesta

Prevención de CSRF para servicios RESTful

¿Tengo razón si reclamo que no existe ninguna protección confiable contra CSRF para un entorno de estado actual? Tengo un servicio RESTful (compilación con RESTEasy) que se debe proteger contra ataques CSRF. Busqué en Google para la prevención d...
hecha 09.09.2013 - 19:53
3
respuestas

de forma segura utilizando JWT con protección CSRF y tokens de actualización

Estoy implementando JWT en mi aplicación y me gustaría hacerlos lo más seguros posible. Presentaré todo lo que estoy planeando, agradecería enormemente cualquier sugerencia en cuanto a la seguridad de esta implementación. Este es mi sitio, tengo...
hecha 13.08.2016 - 01:49
4
respuestas

¿Es necesaria la protección CSRF para los clientes que no aceptan cookies?

Recientemente he actualizado un sitio web de Django 1.0 a 1.3. Uno de los cambios introducidos fue protección automática contra ataques CSRF . En su mayor parte, esto funciona muy bien, pero tengo un problema con los clientes que, por alguna ra...
hecha 07.11.2011 - 11:42
2
respuestas

¿Por qué es necesaria la comprobación de remitentes para que Django impida el CSRF?

Hoy aprendí que la protección CSRF de Django utiliza la comprobación del encabezado de referencia (r) er, además de verificar un campo de formulario oculto contra una cookie. Parece ser importante, a juzgar por los documentos y el problema a con...
hecha 06.08.2015 - 21:53
1
respuesta

¿Cuándo debo generar un nuevo token CSRF?

Estoy creando un método de prevención CSRF en nuestro marco de aplicación. Utilizo, entre otras cosas, el sitio OWASP . Hemos elegido para la medida de prevención "Enviar cookies de doble", que se describe en la OWAS CSRF hoja de trucos...
hecha 15.12.2014 - 21:40
1
respuesta

CSRF en ASP.NET

Hay un formulario ASP.NET de "cambio de contraseña" que tiene la validación de eventos y viewstate habilitados. No hay fichas específicas anti-csrf. Según entiendo, para ejecutar un ataque CSRF exitoso, un atacante tendrá que poder obtener tanto...
hecha 15.12.2014 - 11:57
2
respuestas

¿Cómo implementa github.com la mitigación de CSRF?

He echado un vistazo a CSRF recientemente. La estrategia de mitigación recomendada es implementar la Synchronizer Token Pattern . Cuando miras los detalles, surge la pregunta de con qué frecuencia es necesario cambiar estos tokens. De nuev...
hecha 19.10.2015 - 18:09
3
respuestas

¿Cuáles son las implicaciones de riesgo de no verificar el encabezado del remitente en el formulario de inicio de sesión?

Imagine una aplicación web genérica con un formulario de inicio de sesión para acceder a la aplicación. Independientemente de cómo se realiza la autenticación real, ¿cuáles son las implicaciones de no verificar el encabezado del remitente para v...
hecha 17.04.2013 - 20:55