Tomcat支持将令牌附加到URL的CSRF过滤器。这不会暴露令牌吗?看起来这不是一个安全的解决方案。我说的对吗?
浏览 1提问于2016-10-05得票数 1
2回答
最近,大多数浏览器增加了对SameSite cookie属性的支持,以防止CSRF攻击:https://www.owasp.org/index.php/SameSite。如果支持,我们是否应该实现同步器令牌模式来防止CSRF攻击?CSRF攻击?添加的什么是可能的攻击</em
浏览 0提问于2019-01-13得票数 2
回答已采纳
1回答
这是CSRF的一种非常规方法,我在为Android移动应用程序做五级测试时遇到了这种情况。n#testing","_uuid":"2da6821d-c609 t-900c-9f6e-51as443280f5","email":"tester123@mailservice.com"}
在执行CSRF时,攻击者无法预测CSRF令牌的值,因为它是在请求中验证的,并且即使令牌在请求中存在,也会被拒绝并出现错误的“令牌缺失”。在CSRF
浏览 0提问于2020-06-24得票数 0
回答已采纳
1回答
假设我有一个web应用程序,在其身份验证方案中使用了JWT令牌和CSRF令牌。据我所知,它是这样运作的:
服务器还发送没有httpOnly设置的CSRF令牌,以便JavaScript code.可以读取它。当客户机提出任何未来的请求时,JWT cookie将自动发送,CSRF必须在请求头中设置。这应该可以防止CSRF攻击,因为CSRF cookie
浏览 0提问于2018-11-29得票数 1
1回答
模拟CSRF攻击
、、、
我想模拟CSRF攻击来检查我的网站漏洞。我在我的asp.net but应用程序上尝试了一下,但模拟失败。所以请帮我模拟一下CSRF攻击。我已经通过使用test.aspx进行了模拟。
浏览 2提问于2011-07-07得票数 5
让我们假设攻击者能够将JavaScript注入网站。所以,我想,这个攻击媒介是无法合理防御的。但是,如果攻击者窃取会话,他可以冒充用户并几乎做任何事情。所以我在考虑如何保护这个向量。当然,服务器可以检查IP地址等,但这并不总是可能的。我们可以使用CSRF令牌,但是它们应该是JavaScript可以使用的,如果JavaScript被破坏,它们可能会被窃取,它们必须在well服务器上维护,这会损害可伸缩性,等等。
浏览 0提问于2017-09-27得票数 1
1回答
据我所知,应该对任何更改状态的请求进行CSRF检查。如果不是这样,有什么例外呢?此问题的来源来自于有关使用Firebase管理会话Cookies的教程,它们在初始登录步骤中使用CSRF检查,但对以后的post请求不使用CSRF检查。
浏览 0提问于2021-05-21得票数 0
回答已采纳
1回答
我在这里看到的一件事是:和
使用刷新令牌可以减少CSRF攻击。这种方法在CSRF攻击中也是安全的,因为即使表单提交攻击可以进行/refresh_token API调用,攻击者也无法获得返回的新JWT令牌值。JWT 的值,当然,CSRF攻击者可以使用这个新的发送另一个请求,其中包含新的JWT令牌sinde。如果我的理解是正确的,我正在努力了解如何使用刷新令牌来防止CSRF攻击。有人能解释清楚为什么刷新令牌可以
浏览 4提问于2021-01-24得票数 6
1回答
存储“记住我”曲奇和CSRF保护
、、、、
但是,"httpOnly“cookie容易受到CSRF攻击的攻击,因为它们是与请求一起自动发送的。
为了减轻CSRF攻击,建议使用同步令牌模式(让服务器生成csrf令牌并与客户端交叉校验)。我的问题是,如果有“记住我”的cookie,那么CSRF攻击(恶意JavaScript)是否有可能发出请求并随后从服务器获得csrf令牌?值得关注的是,如果攻击同时具有可以发送请求的标记,那么应用程序的安全性就会受到损害
浏览 0提问于2016-05-30得票数 1
回答已采纳
在任何表单上都不会生成CSRF令牌,并且请求验证是基于加密的id的。
在这种情况下,CSRF攻击可能吗?如果是的话,如何运作呢?
浏览 0提问于2016-11-07得票数 2
1回答
可控硅荧光粉穿透试验
、、、
我已经启用了csrg_regenerate设置为true的CSRF保护。它工作得很好,每次在Post请求时都重新生成令牌,验证也同样有效。除此之外,我还将我的cookie设置为同一站点的严格连接。然后我向安全小组提交了渗透测试评估,他们因为csrf攻击漏洞拒绝了我的工作。
它们的响应: CSRF令牌没有安全地实现。攻击者仍然可以使用csrf_cookie_name Cookie和
浏览 1提问于2018-11-29得票数 0
2回答
当web应用程序易受此类攻击时,它会将未经验证的输入通过请求传递回客户端.[1](https://www.owasp.org/index.php/Testingfor_Reflected_Cross_site_scripting(OTG-INPVAL-001%29)
假设我的webapp在服务器上有一个CSRF验证,检查所有请求的有效CSRF令牌。如果它收到任何不包含CSRF令牌的请求(这个错误是一个简单的字符串,它没有攻击向量),它就会产生正确的错误。为了完整起见
浏览 0提问于2014-08-27得票数 10
回答已采纳
我尝试在我的for应用程序中实现CSRF攻击,它是使用codeigniter框架实现的,这个框架已经有了一个保护CSRF攻击的选项。我的问题是我不知道如何在Ajax调用中避免CSRF攻击。
浏览 21提问于2019-10-18得票数 0
1回答
在仅由HTTPS访问的web应用程序中使用反CSRF令牌真的有意义吗?如果是,那么如果没有反CSRF令牌,那么攻击这样一个web应用程序的可能方法是什么?
浏览 0提问于2012-01-10得票数 7
回答已采纳
在本书的“表单安全性”一节中,它讨论了在使用Form::Open()方法生成表单输入时,Laravel如何生成秘密隐藏代码以防止"CSRF -跨站点请求伪造“。首先,我没有“之前,”“=>”csrf“过滤器附加到路由,我得到了我期待的答案,即外部形式能够访问路由。
对于第二个测试,我在“=>”csrf“过滤器”之前向路由添加了“”。这意味着“”之前的“=>”csrf过滤器阻止了这个外部表单访问路由。我的理解是,如果您向表单中添加了一个隐藏令牌以防止"CSRF“,并且<
浏览 2提问于2015-07-15得票数 2
回答已采纳
我知道他们说CSRF令牌是防止CSRF攻击的最安全的方法,但是如果有人使用XHR检索包含csrf令牌的页面以及表单,然后使用该令牌进行攻击呢?为什么他们不说“引用”标题是最安全的方式,以防止CSRF的攻击?毕竟,几乎99%的当前正在使用的浏览器将提供"Referer“报头,而攻击者无论如何也无法更改它。(是的,他做不到,除非浏览器/操作系统本身被破坏)
现在我用"referer“头保护我的网站,我真的需要csrf<
浏览 0提问于2020-03-26得票数 3
回答已采纳
从:CSRF攻击起作用,因为浏览器请求自动包含所有cookie,包括会话cookie。在我发现的一些示例代码中,基本上找到了这个算法。攻击者:
然后,攻击者窃取此会话cookie作为受害者登录。双重提交cookie可以防止此攻击,因为攻击者还需要在HTTP报头中提供有效的CSRF令牌。我仍然不明白这一点:如果浏览器请求自动包含所有
浏览 3提问于2021-01-22得票数 6
是否可以通过单击劫持漏洞执行CSRF?
假设我的网站被完全保护不受csrf攻击,但是没有XFO,那么有任何方法可以通过点击攻击漏洞来利用CSRF吗?我听说过xmlhttprequest,如果没有XFO但有csrf保护,可以使用它来执行csrf,所以有什么想法吗?
浏览 5提问于2014-04-21得票数 3
回答已采纳
2回答
跨站点请求伪造攻击利用受害者的会话向受信任的站点提交恶意请求。将CAPTCHA描述为一种防止CSRF攻击的好方法。
如我们所知,Google Re在防止机器人垃圾邮件方面是有效的。
浏览 2提问于2015-09-16得票数 7
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM活动推荐
腾讯云开发者
