Preguntas con etiqueta 'csrf'

2
respuestas

Protección Ajax y CSRF

Sin entrar en demasiados detalles, tengo un sitio que es 100% Ajax. Todas las solicitudes al sitio (tanto GET como POST) se realizan a través de Ajax. Ahora tengo que implementar la protección CSRF, y todas las soluciones que encontré se reducen...
hecha 16.09.2012 - 05:08
1
respuesta

¿Puedo generar un token CSRF de doble cookie en el cliente con JavaScript?

¿Hay algún problema con la creación del token CSRF con JavaScript justo antes de enviar el formulario? Ejemplo: var csrf_token = Math.random(); // Write csrf token to cookie. // Add csrf token to the form being submitted. // Submit form. /...
hecha 01.03.2017 - 10:04
2
respuestas

¿La configuración de mi sesión es lo suficientemente segura?

Estoy desarrollando una aplicación web de alojamiento y uso compartido de archivos. ¿Son las siguientes configuraciones de sesión PHP lo suficientemente seguras? ini_set('session.cookie_httponly', 1); ini_set('session.cookie_lifetime', 0);...
hecha 10.05.2014 - 11:08
3
respuestas

CSRF expira antes del formulario enviado

Tengo un formulario web muy largo que podría tomar horas para que las personas lo completen. El problema con esto es cuando las personas tardan demasiado en que el token CSRF caduque antes de que terminen y cuando presionan enviar reciben un err...
hecha 01.07.2015 - 13:30
2
respuestas

¿Cuándo deben usarse las sesiones del lado del servidor en lugar de las sesiones del lado del cliente?

Desde una perspectiva de seguridad de la información, ¿cuándo deberían habilitarse las sesiones del lado del servidor en lugar de las sesiones del lado del cliente? De lo que recojo, las "sesiones del lado seguro del cliente" son cookies que...
hecha 25.02.2016 - 07:32
3
respuestas

Protección CSRF en páginas estáticas

Tengo un sitio estático que tiene formularios. Los formularios se envían a un punto final de Rails que captura los datos enviados. El sitio estático y el punto final de Rails están en el mismo dominio, en diferentes subdominios y todo el tráfico...
hecha 29.10.2012 - 12:24
2
respuestas

Presentación sobre la seguridad de la aplicación web (Capítulo de estudiantes de ACM)

Soy miembro del capítulo local de estudiantes de ACM en mi universidad y, como parte de nuestras actividades, tengo programado dar una charla sobre temas actuales sobre seguridad de aplicaciones web (y posiblemente medidas de codificación segura...
hecha 22.12.2011 - 05:58
7
respuestas

¿Debo evitar el envío de solicitudes GET para las URL que normalmente se utilizan con la solicitud POST?

Hay una url que normalmente se opera con solicitudes POST (es decir, la solicitud POST se envía cuando el usuario envía el formulario). Pero el atacante puede formar una solicitud GET con parámetros que se envían en la solicitud POST. Esta solic...
hecha 18.10.2011 - 19:29
4
respuestas

¿Es posible CSRF si ni siquiera uso cookies?

Tengo una API REST que usa un token de acceso que se envía en el encabezado o como consulta de URL. No uso cookies en absoluto. ¿Sigo siendo vulnerable a los ataques CSRF? Sé que lo haría si usara cookies, ya que otras pestañas pueden enviar...
hecha 29.06.2014 - 19:34
2
respuestas

¿Qué es más seguro: muchos subdirectorios, o muchos subdominios?

Tengo 3 sitios web que podrían configurarse como "VirtualApplication" en servicedefinition.csdef: www.mydomain.net/enroll www.mydomain.net/admin www.mydomain.net/ ... o puedo configurarlos como un sitio: enroll.mydomain.net admin.mydom...
hecha 13.04.2011 - 22:29