Preguntas con etiqueta 'csrf'

preguntas con etiqueta
3
respuestas

¿Es suficiente verificar los encabezados del Referer y del Origin para evitar el CSRF, siempre que las solicitudes con ninguno de los dos sean rechazadas?

¿Es posible prevenir el CSRF comprobando los encabezados de origen y de referencia? ¿Es esto adecuado, siempre que las solicitudes con ninguno de los dos estén bloqueadas?     
hecha 25.04.2017 - 02:48
3
respuestas

¿Los ataques CSRF son realmente ciegos?

Soy nuevo en los ataques CSRF pero no veo cómo siempre están ciegos. Digamos que estamos tratando con un sitio donde el activo que necesitamos proteger es la respuesta HTTP. Algo parecido a la historia médica de uno. De acuerdo con lo que he...
hecha 14.05.2013 - 22:54
3
respuestas

¿Funciona CSRF cuando el sitio de destino no está abierto en una pestaña?

Este es un ejemplo de escenario de ataque de OWASP para CSRF    La aplicación permite a un usuario enviar una solicitud de cambio de estado que   No incluye nada secreto. Por ejemplo:       enlace       Entonces, el atacante construye una...
hecha 14.06.2013 - 16:38
2
respuestas

Drupal disputado CVE Cinco años Tempestad - ¿Falta de seguridad de código abierto?

¿Alguien puede agregar contexto al tema? A primera vista, me parece que este problema representa un déficit fundamental en las fuerzas que fomentan la codificación segura en el desarrollo de código abierto. ¿Es ese el caso y / o es este ejemplo...
hecha 29.03.2012 - 17:00
2
respuestas

¿Es adecuado un token CSRF por sesión con HTTPS?

La nuestra es una aplicación pesada de Ajax con solicitudes concurrentes de Ajax. La generación de tokens únicos con cada solicitud o caducidad y la creación de nuevos tokens después de un cierto intervalo podría complicarse con varias solicitud...
hecha 03.01.2013 - 08:14
3
respuestas

¿Es seguro no tener protección csrf en los formularios de inicio de sesión?

Me he dado cuenta de que WordPress no tiene protección csrf para el inicio de sesión del panel de administración / wp-admin / . ¿Posee realmente algún riesgo potencial? ¿Hay alguna forma posible de que un atacante pueda explotar esto? ¿Es ne...
hecha 10.06.2015 - 11:57
4
respuestas

Almacenamiento del token anti-CSRF en una cookie

Genero un token anti-CSRF aleatorio por sesión y lo guardo en una cookie (con el conjunto de marcas http_only ). Luego agrego ese token a formularios (en un campo de entrada oculto) y enlaces. Al recibir una solicitud en el servidor, ve...
hecha 18.03.2013 - 11:01
3
respuestas

¿cómo un iframe puede causar xsrf?

Sé que una etiqueta de formulario es propensa a CSRF que no usa ningún token (o cualquier otro mecanismo de desafío-respuesta) pero me preguntaba cómo se puede usar un iFrame para causar un ataque XSRF y ¿cuáles serían las técnicas de mitigación...
hecha 21.11.2011 - 13:56
2
respuestas

¿Cómo validar correctamente los redireccionamientos HTTP?

Estoy leyendo la Lista de verificación de prácticas de codificación seguras de OWASP y en su sección "Validación de entrada" tienen un elemento que dice:    Valide los datos de las redirecciones (un atacante puede enviar contenido malintenc...
hecha 09.08.2012 - 03:32
3
respuestas

¿Qué hay de prevenir CSRF de esta manera?

De acuerdo con Hoja de trucos para la prevención de sitios cruzados (CSRF) , el La solución recomendada para proteger el sitio web de los ataques CSRF es implementar el Patrón de token del sincronizador. Y esto requiere que el token sea aleator...
hecha 11.01.2013 - 10:33