Baby steps, giant steps... slowly working towards my Orange belt in pwn.college. Finally completed Web Security with XSS & CSRF today, and now I only have the most interesting modules left: Reverse Engineering and Binary Exploitation (plus the combined exercise after that).

#ctf #cybersecurity #websecurity #xss #csrf #reverseengineering #binaryexploitation #pwn #pwncollege

mini-csrf - stateless, session-less #NPM package for #CSRF protection.

https://www.npmjs.com/package/mini-csrf

#Node #webdev

mini-csrf

A small, stateless, session-less CSRF protection middleware for Express. Latest version: 1.0.3, last published: 22 minutes ago. Start using mini-csrf in your project by running `npm i mini-csrf`. There are no other projects in the npm registry using mini-csrf.

npm

[Перевод] Обходим CSP nonce через дисковый кеш браузера

Эта статья описывает изощренную технику обхода Content Security Policy (CSP) на основе nonce-значений через эксплуатацию механизмов кеширования браузера. Автор демонстрирует, как комбинация CSS-инъекций, CSRF-атак и особенностей работы bfcache и дискового кеша может привести к выполнению произвольного JavaScript-кода даже при наличии строгой CSP.

https://habr.com/ru/articles/926614/

#bugbounty #pentest #web #csp #xss #csrf #css #nonce #разработка #сайт

Обходим CSP nonce через дисковый кеш браузера

Суть атаки Данное исследование описывает способ обхода Content Security Policy на основе nonce-значений в реалистичном сценарии. Автор создал небольшой таск на XSS для демонстрации уязвимости и...

Хабр
Stateful Wizards in a Stateless World: Building Multi-Step Forms with Quarkus
A Hands-On Guide to Session Management, Validation, and CSRF Protection in Modern Cloud-Native Java Web Applications
https://myfear.substack.com/p/quarkus-multi-step-form-session-csrf
#Java #CSRF #Wizards #SessionState #Validation
📢 Chrome introduit une nouvelle permission pour l'accès au réseau local
📝 L'article publié sur le blog developpeurs de Chrome informe que **Google Chrome** introduit un nouveau mécanisme de permission pour les sites accédant aux réseaux locaux...
📖 cyberveille : https://cyberveille.ch/posts/2025-06-18-chrome-introduit-une-nouvelle-permission-pour-l-acces-au-reseau-local/
🌐 source : https://developer.chrome.com/blog/local-network-access?hl=en
#CSRF #Google_Chrome #Cyberveille
Chrome introduit une nouvelle permission pour l'accès au réseau local

L’article publié sur le blog developpeurs de Chrome informe que Google Chrome introduit un nouveau mécanisme de permission pour les sites accédant aux réseaux locaux des utilisateurs. Cette initiative vise à protéger contre les attaques de type Cross-Site Request Forgery (CSRF) ciblant les routeurs et autres appareils sur les réseaux privés. Le changement fait partie de la spécification du Local Network Access, remplaçant un effort précédent appelé Private Network Access. Les utilisateurs peuvent tester cette fonctionnalité dans Chrome 138 en activant un paramètre spécifique. Cette permission restreint l’envoi de requêtes aux serveurs sur le réseau local, nécessitant une autorisation préalable de l’utilisateur.

CyberVeille

#1 Laravel Security Best Practices 2025 🔐 👈 🛡️

#Laravel security guide covering 15 essential practices: #CSRF protection, #SQL injection prevention, #XSS mitigation, secure authentication, proper file uploads, rate limiting & monitoring for #PHP developers #cybersecurity #webdev

🧵👇#webdevelopment

#3 🔒 Use #Eloquent ORM and query builder to prevent #SQL injection attacks
🧼 Escape all output with #Blade syntax to avoid #XSS vulnerabilities
🛡️ Implement #CSRF protection middleware in all forms and state-changing requests

Probably for the seventh time I panicked and relearned that the SameSite cookie flag is really Same*Site* and not Same*Domain*, i.e. foo.example.org and bar.example.org are the same *Site*.

#web #cookies #csrf

https://sgued.fr/blog/need-csrf-token/

You should still use CSRF tokens. SameSite is not the same definition as Cross-Origin, so SameSite=Lax does not protect from CSRF coming from a "neighbor" subdomain.

#Security #CyperSecurity #CSRF #WebSecurity

You should still use CSRF tokens

You may think that thanks to cookies being set to SameSite=Lax by default, CSRF (Cross-Site Request Forgery) is mostly a solved problem, but It's not and CSRF tokens are still good practice to implement.

SGued