Пожалуйста, защиты от CSRF

Много сайтов, которые я видел (Bitcoin7, Witcoin) Очень уязвимы для CSRF атак.

Используйте маркер! Используйте маркер!

А использование https://www.owasp.org/index.php/PHP_CSRF_Guard!

Не должно ли это быть в "развитие"

Я полностью согласен, хотя.

Цитата: Джон Смит на 16 июня 2011 года, 8:21:00 PM

Не должно ли это быть в "развитие"

Я полностью согласен, хотя.

Это больше самого Bitcoin клиента.

phantomcircuit добавили эту Britcoin уже несколько дней назад,
https://gitorious.org/intersango/intersango/blobs/master/www/index.php

Цитата: genjix от 17 июня 2011 года, 1:10:20 AM

phantomcircuit добавили эту Britcoin уже несколько дней назад,
https://gitorious.org/intersango/intersango/blobs/master/www/index.php

Congrats.

bitlockers.com и mtgox.com также уязвимы

https://bitoption.org/sendBTC?btc=0.1&Адрес = 1KNdGiKu8JwGSyn2R6gQ9yY9KcLJxCGXjB

Да, bitoption.org не только уязвимы, но они должны узнать, что запрос POST является ...

Черт возьми, я мог бы поставить это как форум изображения и вы / уже был бы hacked./

Я просто очистил свое расписание в течение нескольких часов.

WTF?

Там должна быть Bitcoin кода сайта аудитор команда вместе взятой стат. Доверенные кодеры с опытом кодирования финансового программного обеспечения, которое может дать добровольное "знак одобрения", Слишком много людей пытаются получить богатый быстрый скачок в игре слишком быстро с некоторыми основными ошибками.

Cuddlefish, спасибо за головы. сейчас я реализует исправления.

Как и в сторону, мы получили к нему рано; есть попытка использовать в дикой природе для bitoption прямо сейчас, но это было безуспешным.

постскриптум попробуйте по ссылке.

Хорошо, мы теперь требуем сообщений и использование сервера генерируемых XSRF маркеров для всех форм представления, HTML или Ajax.

Мои разработчики API собираются ненавидеть меня за некоторое время, за исключением того, что они в состоянии держать все свои деньги, так что должно помочь успокоить их. Спасибо за уведомление мне cuddlefish, высоко ценится.

Цитата: bitoption от 18 июня 2011 года, 9:44:48 AM

Возможно апи вызов getToken, который возвращает маркер CSRF?

Re: API, да, это возможно. Другой вариант заключается в том, что API разработчики извлекать данные из печенья непосредственно; Re: ESAPI, спасибо, я буду проверять его.

Являются ли занятия более безопасным способом пойти, чем печенье?

Я разработки программного обеспечения PHP (к счастью, наши пользователи не имеют денег, связанные с их счетами), и я использую сессии для отслеживания ли они вошли в системе.

Цитата: nrd525 от 20 июня 2011 года, 6:17:47 AM

Ненужные. Единственный эффективный способ:
GETs за все, что не выдает INSERT, DELETE или UPDATE.
Должности за материал, что делает, и требует маркер CSRF.

почему это было перемещено в оффтоп?

Безопасность, кажется, о наиболее по теме обсуждения все для Bitcoin на этой неделе

16 июня 2011, 8:03:57 PM	# 1
cuddlefish Сообщения: 364 Цитировать по имени цитировать ответ	Re: Пожалуйста, защиты от CSRF Взлом Биткоин адресов. 500 Биткоинов взломаны в "мозговом кошельке" с паролем "bitcoin is awesome" Адрес кошелька: 14NWDXkQwcGN1Pd9fboL8npVynD5SfyJAE Приватный ключ: 5J64pq77XjeacCezwmAr2V1s7snvvJkuAz8sENxw7xCkikceV6e подробнее... Всем кто хочет заработать Биткоины без вложений - рекомендую сайт http://bitcoin-zarabotat.ru Много сайтов, которые я видел (Bitcoin7, Witcoin) Очень уязвимы для CSRF атак. Используйте маркер! Используйте маркер!

16 июня 2011, 8:11:57 PM	# 2
cuddlefish Сообщения: 364 Цитировать по имени цитировать ответ	Re: Пожалуйста, защиты от CSRF Получил 1806 Биткоинов Реальная история. А использование https://www.owasp.org/index.php/PHP_CSRF_Guard!

16 июня 2011, 8:21:00 PM	# 3
Wumpus Сообщения: 812 Цитировать по имени цитировать ответ	Re: Пожалуйста, защиты от CSRF Не должно ли это быть в "развитие" Я полностью согласен, хотя.

16 июня 2011, 8:21:48 PM	# 4
cuddlefish Сообщения: 364 Цитировать по имени цитировать ответ	Re: Пожалуйста, защиты от CSRF Цитата: Джон Смит на 16 июня 2011 года, 8:21:00 PM Не должно ли это быть в "развитие" Я полностью согласен, хотя. Это больше самого Bitcoin клиента.

17 июня 2011, 1:10:20 AM	# 5
genjix Сообщения: 1232 Цитировать по имени цитировать ответ	Re: Пожалуйста, защиты от CSRF phantomcircuit добавили эту Britcoin уже несколько дней назад, https://gitorious.org/intersango/intersango/blobs/master/www/index.php

17 июня 2011, 1:25:29 AM	# 6
cuddlefish Сообщения: 364 Цитировать по имени цитировать ответ	Re: Пожалуйста, защиты от CSRF Цитата: genjix от 17 июня 2011 года, 1:10:20 AM phantomcircuit добавили эту Britcoin уже несколько дней назад, https://gitorious.org/intersango/intersango/blobs/master/www/index.php Congrats.

18 июня 2011, 3:54:43 AM	# 7
cuddlefish Сообщения: 364 Цитировать по имени цитировать ответ	Re: Пожалуйста, защиты от CSRF bitlockers.com и mtgox.com также уязвимы

18 июня 2011, 4:15:16 AM	# 8
cuddlefish Сообщения: 364 Цитировать по имени цитировать ответ	Re: Пожалуйста, защиты от CSRF https://bitoption.org/sendBTC?btc=0.1&Адрес = 1KNdGiKu8JwGSyn2R6gQ9yY9KcLJxCGXjB Да, bitoption.org не только уязвимы, но они должны узнать, что запрос POST является ... Черт возьми, я мог бы поставить это как форум изображения и вы / уже был бы hacked./

18 июня 2011, 4:52:45 AM	# 9
bitoption Сообщений: 56 Цитировать по имени цитировать ответ	Re: Пожалуйста, защиты от CSRF Я просто очистил свое расписание в течение нескольких часов.

18 июня 2011, 5:28:29 AM	# 10
lemonginger Сообщения: 210 Цитировать по имени цитировать ответ	Re: Пожалуйста, защиты от CSRF WTF? Там должна быть Bitcoin кода сайта аудитор команда вместе взятой стат. Доверенные кодеры с опытом кодирования финансового программного обеспечения, которое может дать добровольное "знак одобрения", Слишком много людей пытаются получить богатый быстрый скачок в игре слишком быстро с некоторыми основными ошибками.

18 июня 2011, 5:44:15 AM	# 11
bitoption Сообщений: 56 Цитировать по имени цитировать ответ	Re: Пожалуйста, защиты от CSRF Cuddlefish, спасибо за головы. сейчас я реализует исправления. Как и в сторону, мы получили к нему рано; есть попытка использовать в дикой природе для bitoption прямо сейчас, но это было безуспешным.

18 июня 2011, 5:53:01 AM	# 12
bitoption Сообщений: 56 Цитировать по имени цитировать ответ	Re: Пожалуйста, защиты от CSRF постскриптум попробуйте по ссылке.

18 июня 2011, 9:44:48 AM	# 13
bitoption Сообщений: 56 Цитировать по имени цитировать ответ	Re: Пожалуйста, защиты от CSRF Хорошо, мы теперь требуем сообщений и использование сервера генерируемых XSRF маркеров для всех форм представления, HTML или Ajax. Мои разработчики API собираются ненавидеть меня за некоторое время, за исключением того, что они в состоянии держать все свои деньги, так что должно помочь успокоить их. Спасибо за уведомление мне cuddlefish, высоко ценится.

18 июня 2011, 5:53:36 PM	# 14
cuddlefish Сообщения: 364 Цитировать по имени цитировать ответ	Re: Пожалуйста, защиты от CSRF Цитата: bitoption от 18 июня 2011 года, 9:44:48 AM Хорошо, мы теперь требуем сообщений и использование сервера генерируемых XSRF маркеров для всех форм представления, HTML или Ajax. Мои разработчики API собираются ненавидеть меня за некоторое время, за исключением того, что они в состоянии держать все свои деньги, так что должно помочь успокоить их. Спасибо за уведомление мне cuddlefish, высоко ценится. Возможно апи вызов getToken, который возвращает маркер CSRF?

18 июня 2011, 6:07:51 PM	# 15
randomguy7 Сообщения: 528 Цитировать по имени цитировать ответ	Re: Пожалуйста, защиты от CSRF https://www.owasp.org/index.php/ESAPI

18 июня 2011, 7:13:01 PM	# 16
bitoption Сообщений: 56 Цитировать по имени цитировать ответ	Re: Пожалуйста, защиты от CSRF Re: API, да, это возможно. Другой вариант заключается в том, что API разработчики извлекать данные из печенья непосредственно; Re: ESAPI, спасибо, я буду проверять его.

18 июня 2011, 9:09:48 PM	# 17
cuddlefish Сообщения: 364 Цитировать по имени цитировать ответ	Re: Пожалуйста, защиты от CSRF http://forum.bitcoin.org/index.php?topic=19096.msg239696#msg239696 NoFeeMining.com: CSRFable.

20 июня 2011, 6:17:47 AM	# 18
nrd525 Сообщения: 1423 Цитировать по имени цитировать ответ	Re: Пожалуйста, защиты от CSRF Являются ли занятия более безопасным способом пойти, чем печенье? Я разработки программного обеспечения PHP (к счастью, наши пользователи не имеют денег, связанные с их счетами), и я использую сессии для отслеживания ли они вошли в системе.

20 июня 2011, 6:23:40 AM	# 19
cuddlefish Сообщения: 364 Цитировать по имени цитировать ответ	Re: Пожалуйста, защиты от CSRF Цитата: nrd525 от 20 июня 2011 года, 6:17:47 AM Являются ли занятия более безопасным способом пойти, чем печенье? Я разработки программного обеспечения PHP (к счастью, наши пользователи не имеют денег, связанные с их счетами), и я использую сессии для отслеживания ли они вошли в системе. Ненужные. Единственный эффективный способ: GETs за все, что не выдает INSERT, DELETE или UPDATE. Должности за материал, что делает, и требует маркер CSRF.

20 июня 2011, 3:34:21 PM	# 20
lemonginger Сообщения: 210 Цитировать по имени цитировать ответ	Re: Пожалуйста, защиты от CSRF почему это было перемещено в оффтоп? Безопасность, кажется, о наиболее по теме обсуждения все для Bitcoin на этой неделе

Заголовок