Preguntas con etiqueta 'referer'

preguntas con etiqueta
1
respuesta

¿El uso de Gravatar en una aplicación web con URL "privadas" es un problema de seguridad?

En nuestra aplicación, hay un tipo de característica de "compartir" que envía un correo electrónico a una dirección proporcionada por el usuario. Este correo electrónico contiene un enlace con un token de acceso secreto (como parte de la URL) qu...
hecha 18.11.2015 - 19:27
3
respuestas

¿No es seguro redirigir a la URL del remitente?

¿Es un problema cuando las URL de una aplicación web redirigen a la URL especificada en el encabezado Referer ? No es una redirección abierta como cualquiera de los ejemplos /whatever?url=evil.com que he visto, que pueden explot...
hecha 10.08.2017 - 03:18
2
respuestas

Abrir una página web guardada: ¿Se envía el archivo del remitente: //?

enlace    Los navegadores no envían un encabezado de referencia si el recurso de referencia es   un "archivo" local o "datos" URI. ¿Esto es cierto para todos los navegadores principales y modernos (Safari, Chrome, Firefox, Explorer)?...
hecha 30.05.2018 - 15:51
1
respuesta

¿Por qué el encabezado del Referer no usa "el mismo origen" de forma predeterminada?

La misma política de origen es una parte importante del modelo de seguridad, por lo que está "activada" de manera predeterminada para la mayoría de las cosas, pero para el referente no parece ser así. El valor predeterminado para los navegadores...
hecha 20.11.2018 - 09:59
1
respuesta

¿Proteger contra clickjacking pero permitir el enmarcado en el dominio?

Me gustaría proteger contra el clickjacking usando Opciones de X-Frame , pero ocasionalmente enmarcamos contenido seguro en la versión insegura de nuestro sitio 1 : Dado que parece que solo Firefox actualmente admite la forma ALLOW-F...
hecha 18.12.2014 - 00:11
2
respuestas

¿Cómo implementar la funcionalidad de restablecimiento de contraseña sin ser susceptible a la fuga del referer entre dominios?

Por lo general, he implementado la funcionalidad de restablecimiento de contraseña al enviar un enlace que incluye algo como esto: http://example.com/pwreset?id=userId&resetToken=superSecretResetToken En mi página pwreset...
hecha 06.10.2014 - 21:14
1
respuesta

¿Por qué no hay ningún referente cuando se apunta a una página segura?

Participo en un programa de recompensas de errores y trato de encontrar una vulnerabilidad grave para exponer. En primer lugar, descubrí que la empresa no estaba usando CSRF token , en lugar de eso, usan Referer para garantizar q...
hecha 02.09.2016 - 14:03
1
respuesta

Lista blanca para solicitud HTTP

La solicitud maliciosa puede venir en forma de cadena de agente de usuario, referente o cookie. Para evitar ser empeñado por ataques de día cero como Shellshock, he creado una lista blanca de caracteres para la cadena de agente de usuario: a-z...
hecha 21.02.2015 - 09:56
0
respuestas

Enlace del sitio web cambiado a spam en los resultados de búsqueda de Google [cerrado]

Mi sitio web es el primer resultado del término de búsqueda "Word Search Solver" en Google. Recientemente, noté una gran caída en el tráfico (casi todo mi tráfico proviene de Google), así que hice una búsqueda rápida. Lo que descubrí fue que, si...
hecha 19.04.2016 - 21:03
3
respuestas

Cookie cifrada para evitar ataques csrf

Para prevenir ataques CSRF, ¿la creación de una cookie cifrada con un nonce evita un ataque CSRF? Además, a eso se verifica la referencia contra el origen objetivo. No puedo cambiar miles de páginas para incrustar el token en cada envío y no ten...
hecha 15.11.2016 - 22:45