Preguntas con etiqueta 'csrf'

preguntas con etiqueta
1
respuesta

autenticación de API REST con protección JWT y CSRF para SPA

Estoy desarrollando un SPA con back-end REST y quiero tener una autenticación simple basada en token. El objetivo para el respaldo de REST es ser apátrida. Explicaré el modelo de seguridad e intentaré hacer referencia a todas las fuentes para la...
hecha 21.02.2017 - 13:10
2
respuestas

¿Qué sucede si mi token anti-CSRF se ve comprometido por un ataque XSS?

La interesante pregunta de desbordamiento de pila "¿Las cookies protegen los tokens contra los ataques XSS?" se cerró como demasiado amplio, pero como se menciona en un comentario, hay una pregunta tangible de "¿Qué sucede si mi token anti-CSR...
hecha 11.01.2018 - 05:34
3
respuestas

¿Las solicitudes GET y POST son vulnerables al ataque CSRF?

¿Las solicitudes GET y POST son vulnerables a CSRF? ¿Deberíamos usar PUT en su lugar?     
hecha 25.05.2015 - 05:41
1
respuesta

Por qué el JS de CSRF no puede leer el token GETting html

1) El usuario está registrado en bank.com en una pestaña, donde todo está protegido por tokens CSRF. Luego abre evil.com en otra pestaña. 2) Javascript en evil.com podría intentar realizar una solicitud POST a bank.com/send_money solo si supi...
hecha 27.06.2014 - 12:54
2
respuestas

¿La prevención CSRF también previene el ataque XSS reflejado?

Lo que entiendo sobre el XSS reflejado es    ... Cuando una aplicación web es vulnerable a este tipo de ataque, lo hará   pase la entrada no validada enviada a través de las solicitudes al cliente ... [1] Suponiendo que mi aplicación we...
hecha 27.08.2014 - 10:08
1
respuesta

tokens anti-CSRF en un entorno HTTPS

¿Realmente tiene sentido usar tokens anti-CSRF en una aplicación web a la que solo se accede con HTTPS? En caso afirmativo, ¿cuáles son las posibles formas de atacar una aplicación web de este tipo si no hay tokens anti-CSRF?     
hecha 10.01.2012 - 21:45
1
respuesta

¿Está configurando el atributo Same-Site de una cookie para que sea lo mismo que no establecer el atributo Same-Site?

La pregunta está en el título. Si hay diferencias ¿cuáles son?     
hecha 29.08.2017 - 00:07
1
respuesta

Alternativa a los tokens anti-CSRF para solicitud AJAX (Política del mismo origen)

Estoy trabajando en un sitio web PHP completamente basado en AJAX (a través de jQuery). Es una página única en la que AJAX realiza todas las solicitudes. En relación con la protección contra CSRF, he encontrado el problema de tener que inclui...
hecha 12.12.2015 - 00:13
1
respuesta

PHP bin2hex ¿es vulnerable a un ataque de tiempo?

He leído en algunos lugares [1] [2] [3] del deseo de hacer que el tiempo bin2hex de PHP sea constante. ¿En qué situaciones sería vulnerable bin2hex a un ataque de tiempo? ¿Este código de abajo para manejar un token CSRF es vulnerable a...
hecha 19.06.2015 - 07:19
2
respuestas

Prevención de ataques CSRF contra las comunicaciones de WebSocket

He leído el hilo sobre los ataques CSRF en websockets ( ¿Las aplicaciones web basadas en WebSocket (por ejemplo, las aplicaciones" comet ") tienen que preocuparse por CSRF? ) y también más material relacionado con la seguridad de websocket, pero...
hecha 25.12.2014 - 00:02