A Hands-On Guide to Session Management, Validation, and CSRF Protection in Modern Cloud-Native Java Web Applications
https://myfear.substack.com/p/quarkus-multi-step-form-session-csrf
#Java #CSRF #Wizards #SessionState #Validation
L’article publié sur le blog developpeurs de Chrome informe que Google Chrome introduit un nouveau mécanisme de permission pour les sites accédant aux réseaux locaux des utilisateurs. Cette initiative vise à protéger contre les attaques de type Cross-Site Request Forgery (CSRF) ciblant les routeurs et autres appareils sur les réseaux privés. Le changement fait partie de la spécification du Local Network Access, remplaçant un effort précédent appelé Private Network Access. Les utilisateurs peuvent tester cette fonctionnalité dans Chrome 138 en activant un paramètre spécifique. Cette permission restreint l’envoi de requêtes aux serveurs sur le réseau local, nécessitant une autorisation préalable de l’utilisateur.
Tyler Sanderson presents 'Strengthening Web Application Security:
Understanding Threats, Defenses, and Best Practices' July 25th at Nebraska.Code().
https://nebraskacode.amegala.com/
#WebApplicationSecurity #WebThreats #WebDefenses #WebSecurity #OWASP #XSS #CSRF #SQLInjection #CSP #SAST #DAST #Nebraska #WebVulnerabilities #DependencyScanning #webdevelopment #TechnologyConference #CyberSecurity #softwaredevelopment #softwareengineering
🛡️ CSRF-like request token handling in TYPO3
A CSRF-like request token handling is available to mitigate potential cross-site requests on actions with side effects. This approach does not require an existing server-side user session, but uses a nonce as a "pre-session".
https://sgued.fr/blog/need-csrf-token/
You should still use CSRF tokens. SameSite is not the same definition as Cross-Origin, so SameSite=Lax does not protect from CSRF coming from a "neighbor" subdomain.
[Перевод] Архитектурные принципы Spring Security. Часть первая
Команда Spring АйО перевела и адаптировала доклад Даниэля Гарнье-Муару “Spring Security Architecture Principles”, в котором на наглядных примерах рассказывается, как пользоваться возможностями Spring Security, не запутываясь на каждом шагу и не зарабатывая себе головную боль. Доклад будет опубликован тремя частями. В первой части будет рассказано об основных подходах к созданию цепочек фильтров, а также разработан простейший фильтр с красивым названием “Es prohibido” (“Это запрещено” в переводе с испанского).
https://habr.com/ru/companies/spring_aio/articles/909596/
#spring_security #java #kotlin #filterchain #filter #csrf #authorization #authentication
iX-Workshop: OWASP® Top 10 – Sicherheitsrisiken für Webanwendungen verstehen
Lernen Sie die wichtigsten Sicherheitslücken in Web-Anwendungen kennen und erfahren Sie, wie Sie sich erfolgreich schützen können.