Buenas gente. Os cuento: tengo un servidor corriendo Django 1.11.
Resulta que tras una auditoría me han dicho que hay una falla CSRF en la ruta /static/app/scripts/jquery-3.1.1.min.js, pero esto es solamente un javascript que, en teoría (https://domstorm.skepticfx.com/modules/?id=58b175ed8356fff96a5a42c2) no tiene fallos. ¿Puede ser un falso positivo?
Acudo a vosotros tras horas de Google porque no encuentro solución :(
Había pensado también ocultar la carpeta static al exterior (estoy usando nginx) pero no sé si eso funcionaría.
Saludos y gracias;)
Yo creo que es un falso positivo de seguro alguna herramienta automatizada usaron. mi humilde opinion, en caso de que alguien sepa el "como" por favor explicar. ;-)
No existen XSRF en Jquery :/
A ver, pero si metes a un aributo que se supone debe ser booleano un "aCjMe12", entra en un bucle recursivo infinito que te tilda la página completa. Lo acabo de investigar.
amigo a ver te explico csrf necesita hacer una peticion que cambiara valores de la victima que este logeada en ese lugar , como tambien se puede hacer un robo de session una que otra cosa mas pero , para que eso suceda tienen que hacer una peticion a un formulario o alguna cosa que grabe datos , es muy estupido que te hayan dicho que tienen un csrf en jquery lo mas posible es que utilizaron algo automatizado o que los que te hicieron la auditoria sean novatos.
esa es mi humilde opinion soy infomatico con conocimientos intermedio , ya echo algunas pruebas de csrf en forma etica y e podido determinar lo que dije anteriormente , siempre manejando la etica que vivan los hackers eticos a la mrd lo crackers o black hat.