Resultados de la búsqueda a petición "csrf"
CSRF Validation Token: ¿la ID de sesión es segura?
En asp.net estoy implementando un IHttpModule para mitigar los ataques CSRF. Inyecta en la respuesta html un parámetro de formulario oculto con el asp.net SessionID en GET. En los POST, luego verifica para asegurarse de que el valor del ...
Apague el token CSRF en los rieles 3
Tengo una aplicación de rieles que sirve algunas API para una aplicación de iPhone. Quiero poder simplemente publicar en un recurso sin importarme obtener el token csrf correcto. Intenté algún método que veo aquí en stackoverflow pero parece que ...
CSRF tokens vs confusión de Nonce: ¿son lo mismo?
En un intento por hacer que la aplicación actual que estoy desarrollando sea más segura, he estado leyendo sobre los tokens CSRF y también sobre Nonce. Creo que he entendido la idea detrás de los tokens CSRF, pero tengo problemas para encontrar ...
¿Cómo funciona este ataque Man-In-The-Middle?
LosDjango documentación sobre su protección CSRF [http://docs.djangoproject.com/en/dev/ref/contrib/csrf/] Establece que Además, para las solicitudes HTTPS, CsrfViewMiddleware realiza una verificación estricta del árbitro. Esto es necesario para ...
Rails 3 protect_from_forgery no funciona correctamente?
Estoy usando Rails 3.0.2 que tieneprotect_from_forgery por defecto en application_controller.rb. Quería activar unInvalidAuthenticityToken. Para hacer esto, he agregado este javascript a mi ...
Cómo agregar correctamente el token CSRF usando PHP
Estoy tratando de agregar algo de seguridad a los formularios en mi sitio web. Uno de los formularios utiliza AJAX y el otro es un sencillo formulario de "contacto". Estoy tratando de agregar un token CSRF. El problema que tengo es que el token ...
Secuestro de JavaScript, ¿cuándo y cuánto debería preocuparme?
Ok, entonces estoy desarrollando una aplicación web que ha comenzado a ser más ajaxificada. Luego leí un blog que hablaba dejavascript secuestro [http://jeremiahgrossman.blogspot.com/2007/04/javascript-hijacking.html], y estoy un poco confundido ...
Cómo demostrar un ataque CSRF
Estoy haciendo una introducción a la seguridad web para otras personas en nuestra empresa, y quiero mostrar un ejemplo para tener más impacto. Para esto, he creado un pequeño sitio web que es vulnerable a este ataque, este sitio web solo será ...
¿Por qué no usar el ID de sesión como token XSRF?
Por quePlay Framework [http://www.playframework.org/] use [una versión firmada del ID de sesión] comoCross falsificación de solicitud del sitio [http://en.wikipedia.org/wiki/Cross-site_request_forgery] Token de prevención (XSRF / CSRF), en lugar ...
Duda sobre la prevención de CSRF
Tenía una duda sobre la prevención de CSRF. Muchos sitios dicen que CSRF se puede prevenir mediante el uso de 'tokens' que se generan aleatoriamente por sesión. Ahora mi duda es, supongamos que tengo una función ...