Docuware haz a whole lotta not giving a shit about CSRF.

"Hey, you are vulnerable to CSRF, see."

"HERE'S THE WRONG INSTRUCTIONS TO ADD SAMESITE TO THE COOKIE!"

"Those are wrong, and Samesite doesn't really fix CSRF, what about this auth header you are ignor"

"WE ARE FOLLOWING OWASP STANDARDS"

"Well, no, OWASP does mention samesite, and it's weaknesses, but this is asp.net, CSRF protection is built in if it is just enab"

"HERE'S THE WRONG INSTRUCTIONS TO ADD SAMESITE TO THE COOKIE!"

"We went over this, that doesn't wo"

"BUY OUR CLOUD VERSION!"

Fuck off.

iX-Workshop: OWASP® Top 10 – Sicherheitsrisiken für Webanwendungen verstehen

Lernen Sie die wichtigsten Sicherheitslücken in Web-Anwendungen kennen und erfahren Sie, wie Sie sich erfolgreich schützen können.

https://www.heise.de/news/iX-Workshop-OWASP-R-Top-10-Sicherheitsrisiken-fuer-Webanwendungen-verstehen-10354176.html?wt_mc=sm.red.ho.mastodon.mastodon.md_beitraege.md_beitraege&utm_source=mastodon

iX-Workshop: OWASP® Top 10 – Sicherheitsrisiken für Webanwendungen verstehen

Lernen Sie die wichtigsten Sicherheitslücken in Web-Anwendungen kennen und erfahren Sie, wie Sie sich erfolgreich schützen können.

https://www.heise.de/news/iX-Workshop-OWASP-R-Top-10-Sicherheitsrisiken-fuer-Webanwendungen-verstehen-10304996.html?wt_mc=sm.red.ho.mastodon.mastodon.md_beitraege.md_beitraege&utm_source=mastodon

iX-Workshop: OWASP® Top 10 – Sicherheitsrisiken für Webanwendungen verstehen

Lernen Sie die wichtigsten Sicherheitslücken in Web-Anwendungen kennen und erfahren Sie, wie Sie sich erfolgreich schützen können.

https://www.heise.de/news/iX-Workshop-OWASP-R-Top-10-Sicherheitsrisiken-fuer-Webanwendungen-verstehen-10271200.html?wt_mc=sm.red.ho.mastodon.mastodon.md_beitraege.md_beitraege&utm_source=mastodon

I published my WriteUp of MagicGardens box from @hackthebox_eu

https://v0lk3n.github.io/writeup/HackTheBox/Box/MagicGardens/HTB-MagicGardens_WriteUp

I hope that you will like it :)

iX-Workshop: OWASP® Top 10 – Sicherheitsrisiken für Webanwendungen verstehen

Lernen Sie die wichtigsten Sicherheitslücken in Web-Anwendungen kennen und erfahren Sie, wie Sie sich erfolgreich schützen können.

https://www.heise.de/news/iX-Workshop-OWASP-R-Top-10-Sicherheitsrisiken-fuer-Webanwendungen-verstehen-10252937.html?wt_mc=sm.red.ho.mastodon.mastodon.md_beitraege.md_beitraege&utm_source=mastodon

iX-Workshop: OWASP® Top 10 – Sicherheitsrisiken für Webanwendungen verstehen

Lernen Sie die wichtigsten Sicherheitslücken in Web-Anwendungen kennen und erfahren Sie, wie Sie sich erfolgreich schützen können.

https://www.heise.de/news/iX-Workshop-OWASP-R-Top-10-Sicherheitsrisiken-fuer-Webanwendungen-verstehen-10223554.html?wt_mc=sm.red.ho.mastodon.mastodon.md_beitraege.md_beitraege&utm_source=mastodon

iX-Workshop: OWASP® Top 10 – Sicherheitsrisiken für Webanwendungen verstehen

Lernen Sie die wichtigsten Sicherheitslücken in Web-Anwendungen kennen und erfahren Sie, wie Sie sich erfolgreich schützen können.

https://www.heise.de/news/iX-Workshop-OWASP-R-Top-10-Sicherheitsrisiken-fuer-Webanwendungen-verstehen-10223554.html?wt_mc=sm.red.ho.mastodon.mastodon.md_beitraege.md_beitraege&utm_source=mastodon

Заставляем работать демонстрационный пример из официальной документации npm пакета csrf-csrf

Ничто так не бесит при изучении новых пакетов/библиотек, как неработающие примеры из официальной документации. До последнего не веришь, что авторы библиотеки так лоханулись с исходниками примеров. Считаешь, что программисты потратили кучу своего времени на разработку, тестирование и продвижение пакета. И что они не могли выложить неработающие примеры. А если примеры не работают, то значит что-то не так у тебя. То ли VPN новый глючит, то ли антивирус душит библиотеку, то ли устаревшие версии какого-то ПО/драйверов/библиотек конфликтуют. В данной статье рассказывается о моем опыте делания рабочим примера npm пакета 'csrf-csrf' из официальной документации. Кому нужно срочно - вот github с исходниками: https://github.com/korvintaG/csrf-csrf_demo . Важно - обращайте внимание на комментарии, особенно те, в которых много звездочек.

https://habr.com/ru/articles/869292/

If I'm making an internal web app that uses cookies in 2024, do I still need #CSRF tokens or can I get away with using SameSite=Strict?

iX-Workshop: OWASP® Top 10 – Sicherheitsrisiken für Webanwendungen verstehen

Lernen Sie die wichtigsten Sicherheitslücken in Web-Anwendungen kennen und erfahren Sie, wie Sie sich erfolgreich schützen können.

https://www.heise.de/news/iX-Workshop-OWASP-R-Top-10-Sicherheitsrisiken-fuer-Webanwendungen-verstehen-9988943.html?wt_mc=sm.red.ho.mastodon.mastodon.md_beitraege.md_beitraege&utm_source=mastodon

For the German OWASP Day in Leipzig on November 13 we're excited to announce the first round of speakers/ talks which the program committee determined yesterday.

* @freddy (builds security for the web as a security engineer and manager for Mozilla Firefox) will present "Modern solutions against Cross-Site Leaks (xs-leaks) and #CSRF"

* Shubham Agarwal will raise his voice against "Double-Edged Crime: How Browser Extension Fingerprinting Might Endanger Users and Extensions Alike"

* Nicolas Schickert, Ole Wagner and Matthias Göhring will tackle most companies problem child "#SAP from an Attacker’s Perspective – Common Vulnerabilities and Pitfalls"

* @bkimminich is celebrating the "OWASP Juice Shop 10th anniversary" . There'll be also a Juice Shop training on the 12th!

* While Dr. Daniel Fett will be talking about "How (Not) to Use OAuth in 2024", Kristina Yasuda will tell you "The Crucial Role of Web Protocols and Standards in Digital Wallet Ecosystems" (EUDI Wallet)

* @TimPhSchaefers will demystify #NIS2 and hopefully #NIS2UmsuCG

* Stephan Pinto Spindler will share his experiences wrt "Network Fingerprinting for Securing User Accounts"

* Thomas Barber will give us a short insights into project #foxhound, a taint tracking project using a patched firefox .

More to announced soon! Expect more excellent topics to be announced during the next days!

We’re trying to add a production docker image with preview domain support in the Django website, but we’re stuck (maybe we’re only tired).

Help needed
https://github.com/django/djangoproject.com/pull/1627

> "The GPL is upstream-centric, the MIT license is downstream-centric."
> #CSRF and clickjacking are textbook examples of problems with global namespaces that would never happen in a capability system.
service providers can take #GPL software, make local improvements to it, and then sell the services without giving any of their changes back. Amazon makes billions of dollars per year from the #Xen Project (GPLv2), and hasn't submitted any patches in several years. I doubt that's because they're using stock upstream Xen releases with no modifications

https://lwn.net/Articles/681028/

When you are handling user data do you sanitize it...

Update: To be clear, sending data to a database is considered "use"; it is a given that you sanitize data before putting it in SQL, or HTML

(Boost for increased sample size)

Sécurisez vos applications PHP avec JWT et CSRF !

Dans ce nouveau tutoriel, je vous explique comment gérer des JWT stockés en cookies HTTPOnly et sécuriser vos requêtes contre les attaques CSRF. Code et astuces inclus !

Visionnez la vidéo complète ici : https://youtu.be/vuVkWzR-nwE

Découvrez notre nouveau tutoriel sur les jetons CSRF et la sécurisation de vos formulaires en PHP ! Apprenez à protéger vos applications contre les attaques CSRF. Visionnez la vidéo ici : https://youtu.be/nsxamjzyXMw
#CSRF #PHP #SécuritéWeb #WebDevelopment #NouvelleTechno

iX-Workshop: OWASP® Top 10 – Sicherheitsrisiken für Webanwendungen verstehen

Lernen Sie die wichtigsten Sicherheitslücken in Web-Anwendungen kennen und erfahren Sie, wie Sie sich erfolgreich schützen können. (10% Rabatt bis 19.08.)

https://www.heise.de/news/iX-Workshop-OWASP-R-Top-10-Sicherheitsrisiken-fuer-Webanwendungen-verstehen-9820197.html?wt_mc=sm.red.ho.mastodon.mastodon.md_beitraege.md_beitraege&utm_source=mastodon