Preguntas con etiqueta 'referer'

2
respuestas

¿Cómo se protegen contra ataques CSRF el envío de encabezados HTTP de referencia?

¿Cómo protege el envío de encabezados HTTP de referencia contra los ataques CSRF? Intenté iniciar sesión en un sitio HTTPS con network.http.sendRefererHeader de Firefox establecido en 0 deshabilitado, como medida contra el seguimiento), y d...
hecha 02.09.2016 - 00:48
3
respuestas

¿Cuáles son las implicaciones de riesgo de no verificar el encabezado del remitente en el formulario de inicio de sesión?

Imagine una aplicación web genérica con un formulario de inicio de sesión para acceder a la aplicación. Independientemente de cómo se realiza la autenticación real, ¿cuáles son las implicaciones de no verificar el encabezado del remitente para v...
hecha 17.04.2013 - 20:55
4
respuestas

¿Qué riesgos presenta el navegador al pasar el "referente" al siguiente sitio visitado desde un enlace a otro dominio?

A partir de hoy, creo que todos los navegadores principales de forma predeterminada revelarán a un sitio de terceros de qué sitio procedo, y más específicamente, la URL exacta de la que procedí. ¿Cuáles son las implicaciones de privacidad d...
hecha 06.05.2014 - 21:07
3
respuestas

Cómo evitar la fuga de información del remitente durante el restablecimiento de la contraseña

La mayoría de los sistemas de restablecimiento de contraseñas implican enviar por correo electrónico al usuario un enlace único que le permite restablecer su contraseña. El token debe estar en la URL, ya que la mayoría de los clientes de correo...
hecha 15.12.2014 - 18:20
1
respuesta

¿Está mostrando un encabezado de referencia HTTP no codificado vulnerable a XSS?

Considere el siguiente script PHP (podría ser cualquier otro idioma; elegí PHP por simplicidad): <?php echo $_SERVER['HTTP_REFERER']; ?> ¿Es vulnerable a XSS? Por supuesto, puedo enviar una solicitud a la secuencia de comandos util...
hecha 06.06.2016 - 22:38
4
respuestas

¿La comprobación de encabezado de referencia ofrece alguna mejora de seguridad en el mundo real?

En el trabajo, usamos un portal central que proporciona funcionalidad básica de SSO a otras aplicaciones. Además de verificar los datos de SSO enviados, todas nuestras aplicaciones internas existentes (utilizadas por el público) también verifica...
hecha 26.08.2014 - 17:08
1
respuesta

Cómo forjar el encabezado de referencia en el método GET activado en HTML

Estoy analizando las vulnerabilidades CSRF de la DVWA. Me encuentro con el nivel medio que utiliza este fragmento de código para validar si el encabezado referer es igual al nombre del servidor: if( eregi( $_SERVER[ 'SERVER_NAME' ],...
hecha 04.11.2017 - 18:40
2
respuestas

¿Existe alguna técnica efectiva de prevención del lado del servidor contra CSRF asistida por PHP?

Empezaré por decirlo: soy simplemente un entusiasta de la ciberseguridad, no un experto. Por lo tanto, voy a decir lo que creo que sé hasta ahora, no dude en corregirme en cualquier momento. A través de mis lecturas, he venido a aprender sobr...
hecha 23.05.2016 - 17:06
1
respuesta

¿Cómo verificar si hay fugas de referencia entre dominios?

Estoy aprendiendo pruebas de lápiz en aplicaciones web. Me pareció muy interesante la vulnerabilidad fuga de referencias entre dominios . ¿Alguien puede decirme cómo verificar esta vulnerabilidad en cualquier aplicación web?     
hecha 12.07.2016 - 14:52
0
respuestas

Riesgos de seguridad con el widget iframe para diferentes herramientas

Estamos creando perfiles de usuario que pueden integrarse en los sitios web de los clientes. Los estamos incorporando como iframe en la web del cliente con el ID de usuario como parámetro en la URL de iframe. Tenemos un token de autenticación...
hecha 16.12.2015 - 13:53