1回答
csrf漏洞测试
、、
我为检查csrf攻击而实现的修复应该将一个自定义标头(csrf检测:1)附加到response,如果request缺少另一个自定义标头(csrf令牌:一些唯一的令牌)。
浏览 4提问于2022-05-10得票数 0
在成功执行CSRF攻击时,它们能够访问受害者和站点之间的凭据和其他信息。存储在密码管理器中的站点用户名和密码是否也可见?或者这是不是超出了这次袭击的范围?
浏览 0提问于2019-01-10得票数 0
回答已采纳
1回答
测试CSRF漏洞
、、
在我的php页面(register.php)中有一个表单,我想检查它是否易受CSRF的攻击(正如我预期的那样): <input name="submit" type="submit" value="Registrami">为了测试我从浏览
浏览 1提问于2014-07-12得票数 0
回答已采纳
是否可以通过单击劫持漏洞执行CSRF?
假设我的网站被完全保护不受csrf攻击,但是没有XFO,那么有任何方法可以通过点击攻击漏洞来利用CSRF吗?我听说过xmlhttprequest,如果没有XFO但有csrf保护,可以使用它来执行csrf,所以有什么想法吗?
浏览 5提问于2014-04-21得票数 3
回答已采纳
1回答
据我所知,我的解决方案需要以下步骤:->我发送csrf令牌(而不是httponly,这样js就可以读取它)。我还将这个csrf令牌保存到服务器上的用户会话中。->对于每个post请求,我希望我的客户端读取csrf令牌,并将XSRF令牌标头设置为此令牌。
->我将通过检查请求头和用户会话csrf令牌来检查每个请求。->验证csrf令牌后,我将对数据库进行更改。另外,我将再次更改csrf令牌,向用户发送新令牌,为会话更改令牌。但我不知
浏览 6提问于2016-06-14得票数 0
回答已采纳
1回答
如果我是对的,CSFR和SQLi是两个完全不同的漏洞,并不是相互对应的。如果您有一个令牌,这一切都不错,但它不会对您的SQLi有帮助。
浏览 0提问于2017-08-02得票数 1
回答已采纳
1回答
我听说没有专门的工具来测试和发现网站的CSRF漏洞。因此,从安全测试人员的角度来看,如何测试CSRF漏洞?
浏览 0提问于2014-09-18得票数 10
回答已采纳
bayeux = Faye::RackAdapter.new(:mount => '/faye', :timeout => 25)
# event listener logicend
bayeu
浏览 4提问于2014-07-29得票数 0
2回答
我们总是在Django表单中使用csrf_token,它是动态生成的。如果捕获我与fiddler会话,并尝试在没有令牌的情况下提交表单,我会得到一个403错误。
浏览 1提问于2017-05-11得票数 10
现在有人发现了CSRF漏洞,它只能通过自己的站点工作(因为站点是通过检查引用头而不是CSRF令牌来保护的)。这可以执行关键操作,但只有当请求来自您的站点时才能执行。这意味着一个小的XSS攻击可以通过此漏洞执行更大的操作。你会认为这是一个关键的漏洞,这是否应该作为CSRF攻击得到回报?
浏览 3提问于2016-01-04得票数 1
回答已采纳
CSRF同步令牌在一定程度上是有意义的。有人能用孩子气的方式向我解释一下吗?为了预防,请忽略标题答案*
浏览 0提问于2016-10-18得票数 0
回答已采纳
1回答
POST", data: post_data, <script type="text/javascript"> window.CSRF
浏览 0提问于2016-05-19得票数 0
回答已采纳
在pentration测试之后,开发者只使用referrer头来缓解CSRF漏洞。该应用程序还存在其他漏洞,如XSS。可以在XSS的帮助下利用CSRF吗?如果是,是如何实现的?
浏览 0提问于2017-08-17得票数 0
3回答
CSRF漏洞/cookie问题
、、、、
我在考虑CSRF的漏洞,这似乎是我所知道的对抗它最流行的方法。该方法是在返回的html中创建一个令牌,并添加一个具有相同值的cookie。在这一行下面的不需要阅读来回答问题:)我能想到的另一个解决方案是在页面级别上进行身份验证。
浏览 2提问于2010-06-24得票数 5
假设应用程序中存在XSS漏洞,并且应用程序不使用任何类型的CSRF令牌,只使用referer报头来防止CSRF。Referer标头正在正确验证。因此,在这种情况下,我们可以绕过引用头来执行CSRF吗?因为OWASP总是推荐令牌来防止CSRF.
浏览 0提问于2020-01-24得票数 1
我想了解什么是CSRF漏洞。我在我的web应用程序中使用授权系统,并找到了CSRF。实际上,我想为这个漏洞创建模拟,但我并不完全理解。
浏览 0提问于2012-08-01得票数 1
回答已采纳
我的前端javascript中有以下代码,它基本上读取csrf cookie值,并在通过jquery完成的ajax调用中设置它。self.getCookie('csrftoken');这似乎是一种非常标准的技术,但Veracode将其报告为一个漏洞查看这种漏洞的详细信息,在https://cwe.mitre.org/data/definitions/
浏览 0提问于2020-01-06得票数 2
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
腾讯会议
云直播
对象存储活动推荐
腾讯云开发者
