#1 Laravel Security Best Practices 2025 🔐 👈 🛡️

#Laravel security guide covering 15 essential practices: #CSRF protection, #SQL injection prevention, #XSS mitigation, secure authentication, proper file uploads, rate limiting & monitoring for #PHP developers #cybersecurity #webdev

🧵👇#webdevelopment

#3 🔒 Use #Eloquent ORM and query builder to prevent #SQL injection attacks
🧼 Escape all output with #Blade syntax to avoid #XSS vulnerabilities
🛡️ Implement #CSRF protection middleware in all forms and state-changing requests

Probably for the seventh time I panicked and relearned that the SameSite cookie flag is really Same*Site* and not Same*Domain*, i.e. foo.example.org and bar.example.org are the same *Site*.

#web #cookies #csrf

https://sgued.fr/blog/need-csrf-token/

You should still use CSRF tokens. SameSite is not the same definition as Cross-Origin, so SameSite=Lax does not protect from CSRF coming from a "neighbor" subdomain.

#Security #CyperSecurity #CSRF #WebSecurity

[Перевод] Архитектурные принципы Spring Security. Часть первая

Команда Spring АйО перевела и адаптировала доклад Даниэля Гарнье-Муару “Spring Security Architecture Principles”, в котором на наглядных примерах рассказывается, как пользоваться возможностями Spring Security, не запутываясь на каждом шагу и не зарабатывая себе головную боль. Доклад будет опубликован тремя частями. В первой части будет рассказано об основных подходах к созданию цепочек фильтров, а также разработан простейший фильтр с красивым названием “Es prohibido” (“Это запрещено” в переводе с испанского).

https://habr.com/ru/companies/spring_aio/articles/909596/

#spring_security #java #kotlin #filterchain #filter #csrf #authorization #authentication

iX-Workshop: OWASP® Top 10 – Sicherheitsrisiken für Webanwendungen verstehen

Lernen Sie die wichtigsten Sicherheitslücken in Web-Anwendungen kennen und erfahren Sie, wie Sie sich erfolgreich schützen können.

https://www.heise.de/news/iX-Workshop-OWASP-R-Top-10-Sicherheitsrisiken-fuer-Webanwendungen-verstehen-10373737.html?wt_mc=sm.red.ho.mastodon.mastodon.md_beitraege.md_beitraege&utm_source=mastodon

#XSS #CSRF #IT #iXWorkshops #OWASP #Sicherheitslücken #news

Docuware haz a whole lotta not giving a shit about CSRF.

"Hey, you are vulnerable to CSRF, see."

"HERE'S THE WRONG INSTRUCTIONS TO ADD SAMESITE TO THE COOKIE!"

"Those are wrong, and Samesite doesn't really fix CSRF, what about this auth header you are ignor"

"WE ARE FOLLOWING OWASP STANDARDS"

"Well, no, OWASP does mention samesite, and it's weaknesses, but this is asp.net, CSRF protection is built in if it is just enab"

"HERE'S THE WRONG INSTRUCTIONS TO ADD SAMESITE TO THE COOKIE!"

"We went over this, that doesn't wo"

"BUY OUR CLOUD VERSION!"

Fuck off.

#appsec #csrf

iX-Workshop: OWASP® Top 10 – Sicherheitsrisiken für Webanwendungen verstehen

Lernen Sie die wichtigsten Sicherheitslücken in Web-Anwendungen kennen und erfahren Sie, wie Sie sich erfolgreich schützen können.

https://www.heise.de/news/iX-Workshop-OWASP-R-Top-10-Sicherheitsrisiken-fuer-Webanwendungen-verstehen-10354176.html?wt_mc=sm.red.ho.mastodon.mastodon.md_beitraege.md_beitraege&utm_source=mastodon

#XSS #CSRF #IT #iXWorkshops #OWASP #Sicherheitslücken #news

I just decided my new tool needs protection against #CSRF. It's surprisingly little code, once the generic tooling is in place 😎

https://github.com/Zirias/swad/commit/ecfeb68f87245d621c53d7ca440f9c36d909a18a

#C #coding

iX-Workshop: OWASP® Top 10 – Sicherheitsrisiken für Webanwendungen verstehen

Lernen Sie die wichtigsten Sicherheitslücken in Web-Anwendungen kennen und erfahren Sie, wie Sie sich erfolgreich schützen können.

https://www.heise.de/news/iX-Workshop-OWASP-R-Top-10-Sicherheitsrisiken-fuer-Webanwendungen-verstehen-10304996.html?wt_mc=sm.red.ho.mastodon.mastodon.md_beitraege.md_beitraege&utm_source=mastodon

#XSS #CSRF #iXWorkshops #OWASP #Sicherheitslücken #news

🚀 Wow, Internet! Another thrilling deep dive into the captivating world of redundant #security protocols! 🙄 Turns out, we need a thousand words to explain why #CSRF and #CORS are still around, but don't worry—it's just as riveting as watching paint dry. 🎨 Spoiler: web frameworks already have it covered, but hey, let's invent problems! 🤦‍♂️
https://smagin.fyi/posts/cross-site-requests/ #Internet #Redundancy #WebFrameworks #TechHumor #HackerNews #ngated

Why do we have both CSRF protection and CORS? — https://smagin.fyi/posts/cross-site-requests/
#HackerNews #CSRF #CORS #websecurity #cybersecurity #development

How Does a CSRF Attack Work?

A CSRF (Cross-Site Request Forgery) attack exploits the trust a web application has in a user's browser to perform unauthorized actions on behalf of the user.

Join CISSP Training course - https://www.infosectrain.com/courses/cissp-certification-training/

#CSRF #CyberSecurity #WebSecurity #Phishing #Attack #SecurityAwareness #SecureCoding #WebAppSecurity #infosectrain #learntorise

iX-Workshop: OWASP® Top 10 – Sicherheitsrisiken für Webanwendungen verstehen

Lernen Sie die wichtigsten Sicherheitslücken in Web-Anwendungen kennen und erfahren Sie, wie Sie sich erfolgreich schützen können.

https://www.heise.de/news/iX-Workshop-OWASP-R-Top-10-Sicherheitsrisiken-fuer-Webanwendungen-verstehen-10271200.html?wt_mc=sm.red.ho.mastodon.mastodon.md_beitraege.md_beitraege&utm_source=mastodon

#XSS #CSRF #iXWorkshops #OWASP #Sicherheitslücken #news

I published my WriteUp of MagicGardens box from @hackthebox_eu

👇👇👇

https://v0lk3n.github.io/writeup/HackTheBox/Box/MagicGardens/HTB-MagicGardens_WriteUp

I hope that you will like it :)

#HTB #BufferOverflow #CSRF #XSS #DevTools #Missconfiguration #docker #django #Pentest #CyberSecurity #HackTheBox

iX-Workshop: OWASP® Top 10 – Sicherheitsrisiken für Webanwendungen verstehen

Lernen Sie die wichtigsten Sicherheitslücken in Web-Anwendungen kennen und erfahren Sie, wie Sie sich erfolgreich schützen können.

https://www.heise.de/news/iX-Workshop-OWASP-R-Top-10-Sicherheitsrisiken-fuer-Webanwendungen-verstehen-10252937.html?wt_mc=sm.red.ho.mastodon.mastodon.md_beitraege.md_beitraege&utm_source=mastodon

#XSS #CSRF #iXWorkshops #OWASP #Sicherheitslücken #news

iX-Workshop: OWASP® Top 10 – Sicherheitsrisiken für Webanwendungen verstehen

Lernen Sie die wichtigsten Sicherheitslücken in Web-Anwendungen kennen und erfahren Sie, wie Sie sich erfolgreich schützen können.

https://www.heise.de/news/iX-Workshop-OWASP-R-Top-10-Sicherheitsrisiken-fuer-Webanwendungen-verstehen-10223554.html?wt_mc=sm.red.ho.mastodon.mastodon.md_beitraege.md_beitraege&utm_source=mastodon

#XSS #CSRF #iXWorkshops #OWASP #Sicherheitslücken #news

iX-Workshop: OWASP® Top 10 – Sicherheitsrisiken für Webanwendungen verstehen

Lernen Sie die wichtigsten Sicherheitslücken in Web-Anwendungen kennen und erfahren Sie, wie Sie sich erfolgreich schützen können.

https://www.heise.de/news/iX-Workshop-OWASP-R-Top-10-Sicherheitsrisiken-fuer-Webanwendungen-verstehen-10223554.html?wt_mc=sm.red.ho.mastodon.mastodon.md_beitraege.md_beitraege&utm_source=mastodon

#XSS #CSRF #iXWorkshops #OWASP #Sicherheitslücken #news

Заставляем работать демонстрационный пример из официальной документации npm пакета csrf-csrf

Ничто так не бесит при изучении новых пакетов/библиотек, как неработающие примеры из официальной документации. До последнего не веришь, что авторы библиотеки так лоханулись с исходниками примеров. Считаешь, что программисты потратили кучу своего времени на разработку, тестирование и продвижение пакета. И что они не могли выложить неработающие примеры. А если примеры не работают, то значит что-то не так у тебя. То ли VPN новый глючит, то ли антивирус душит библиотеку, то ли устаревшие версии какого-то ПО/драйверов/библиотек конфликтуют. В данной статье рассказывается о моем опыте делания рабочим примера npm пакета 'csrf-csrf' из официальной документации. Кому нужно срочно - вот github с исходниками: https://github.com/korvintaG/csrf-csrf_demo . Важно - обращайте внимание на комментарии, особенно те, в которых много звездочек.

https://habr.com/ru/articles/869292/

#csrf #безопасность #nodejs #expressjs #javascript

If I'm making an internal web app that uses cookies in 2024, do I still need #CSRF tokens or can I get away with using SameSite=Strict?