csrf
Информационная безопасность
Вопрос или проблема Я хочу узнать, опасно ли как-то хранить идентификатор текущей сессии вошедшего пользователя в исходном коде страницы. Почему я хотел это сделать? Я пытаюсь поделиться сессией пользователя между двумя приложениями: одним (основным) на PHP и другим на Node.
Информационная безопасность
Вопрос или проблема https://www.rfc-editor.org/rfc/rfc6749#section-4.1.1 указывает: 4.1.1. Запрос авторизации” “state” РЕКОМЕНДУЕТСЯ. Непрозрачное значение, используемое клиентом для поддержания состояния между запросом и обратным вызовом.
Информационная безопасность
Вопрос или проблема Я работаю над лабораторией CSRF в DVWA с низкими настройками безопасности. DVWA работает на localhost:4280. Атрибут cookie SameSite не установлен (на Lax или Strict), и, следовательно, запросы между сайтами должны быть возможны.
Информационная безопасность
Вопрос или проблема Как собрать csrf токен на странице входа и проанализировать уязвимости токена csrf с помощью Burp? Ответ или решение Как выявить уязвимости CSRF-токенов на странице авторизации с использованием Burp Suite Community Edition Введение
Информационная безопасность
Вопрос или проблема Ссылки на актуальные (неотвеченные) вопросы, которые я задал на StackOverflow: https://stackoverflow.com/questions/70703895/securely-renewing-a-session-without-javascript-and-without-breaking-csrf-protect https://stackoverflow.
Вопросы и ответы
Вопрос или проблема Я пытаюсь реализовать OWASP CSRF Guard в веб-приложении, которое я обновляю (написанном на Java 17, работающем на сервере tomcat 10.1.25). Мы использовали библиотеку ESAPI, но так как мы использовали только 6 уникальных методов из
Информационная безопасность
Вопрос или проблема Я провожу исследование безопасности приложения и спрашиваю себя, на чем оно основано. Кажется, что оно меняется с каждым запросом (то есть не привязано к пользовательской сессии). Это просто случайное значение, которое должно существовать
Вопросы и ответы
Вопрос или проблема Я создаю одностраничное приложение с Spring и Vue, но не могу заставить работать защиту от CSRF. Я следовал тому, что предлагает эта тема, но токен CSRF не обнаруживается ни с одним из имен (_csrf, X-XSRF-TOKEN, X-XSRF, X-CSRF-TOKEN)
Информационная безопасность
Вопрос или проблема Будет ли случайно сгенерированный ключ сеанса достаточным, чтобы я мог прекратить использование CSRF токена? Фронтенд получит токен при входе в систему. Он будет храниться в «локальном хранилище» на устройстве клиента и проверяться
Информационная безопасность
Вопрос или проблема Что я понял (наверное): Кросс-доменные куки: Куки, установленные с Domain="example.com", не отправляются с запросами fetch из источников, таких как hello.example2.com, на mywebsite.example.com, поскольку это разные домены.
Вопросы и ответы
Вопрос или проблема Я выхожу из текущего проекта laravel, когда запускаю скрипт ниже в своем браузере с <form action="http://127.0.0.1:8000/logout" method="POST"> -здесь вы можете изменить URL вашего маршрута выхода <
Вопросы и ответы
Вопрос или проблема Я обрабатываю транзакцию с помощью обычной формы HTML в Laravel. Всё работает хорошо, пока транзакция не должна пройти проверку 3ds. Когда я отправляю информацию о транзакции, я предоставляю ссылку для перенаправления, куда клиенту