Domande con tag 'api'

domande con tag
1
risposta

AES Encryption è questa crittografia complicata?

Sto lavorando con l'API di un fornitore e consiglia i seguenti passaggi per trasmettere un valore crittografato: 1) Convert the encryption password to a byte array. 2) Convert the value to be encrypted to a byte array. 3) The entire...
posta 20.12.2018 - 22:29
3
risposte

Perché consentire a una chiave API pubblica di cambiare?

Un metodo comune di credenziale per un'API consiste nel dare a ogni uso una coppia di chiavi pubblica / privata. La chiave pubblica viene inviata con la richiesta e la chiave privata viene utilizzata per firmare la richiesta (e viene verificata...
posta 29.10.2018 - 15:54
1
risposta

Quali metodi posso utilizzare per impedire il bypass di un limite dell'API pubblica?

Quindi diciamo che dopo 50 richieste in un periodo di 30 secondi, l'IP di un utente diventa nella lista nera. Possono ancora bypassare questo blocco cambiando il loro IP, che è abbastanza facile e veloce al giorno d'oggi. Quindi, quali altri...
posta 30.10.2018 - 15:44
2
risposte

XMLHttpRequest CSRF non riesce con CORS consentito

Al momento sto lavorando a un PoC per un attacco CSRF, che dovrebbe essere possibile a causa della lassità della configurazione di CORS. Ho il permesso di attaccare. Ora il codice seguente dovrebbe inviare una richiesta OPTIONS, che include t...
posta 21.09.2018 - 09:36
2
risposte

CSRF con un'API JSON CORS [duplicato]

Abbiamo api.example.com che comunica con app.example.com, un'app Android nativa e un'app iOS. Vogliamo consentire ad altre terze parti di comunicare con l'API anche se lo desiderano, e come tale abbiamo Access-Control-Allow-Origin: * head...
posta 15.01.2018 - 15:11
1
risposta

Chiave privata remota per l'autorità di certificazione

Sfondo Mi sono preso gioco dell'idea di utilizzare una chiave privata protetta racchiusa da un'API, come Azure KeyVault o chiavi Amazon KMS per firmare i certificati per l'infrastruttura a chiave privata interna. Concettualmente, questo è...
posta 17.03.2018 - 22:59
1
risposta

Modo sicuro per archiviare dettagli API sensibili degli utenti (localStorage o database?)

Sto giocando con l'idea di creare un sito web per criptovalute, dove un utente può registrarsi sul mio sito web, inserire i dettagli API per uno dei mercati di scambio che sosterrò, il che gli consente di negoziare in quella borsa , ma usando la...
posta 16.11.2017 - 08:46
2
risposte

Le chiamate HTTP da centinaia di IP nella stessa subnet sono dannose?

Sono stato colpito ogni giorno con chiamate 50-100M alla mia API e sto cercando di identificare le sottoreti che sono le fonti. Ho trovato eseguendo una corrispondenza in redis (dove vengono registrate tutte le richieste degli ultimi 24 ore),...
posta 27.05.2018 - 23:28
1
risposta

API Security - Mutuo TLS vs TLS con segreto condiviso.

Quando si imposta la sicurezza per l'integrazione dell'API Business to Business. Siamo in discussione 2 opzione TLS reciproco con filtro IP TLS con segreto condiviso e filtro IP. Qual è l'approccio più sicuro e che cosa fa la differenza...
posta 27.04.2018 - 03:01
3
risposte

Protezione di un'API di riposo con un client

Sto per sviluppare un'API REST che avrà un solo "utente" e sono curioso di sapere come implementare la sicurezza per renderla il più sicura possibile (sperando di implementare un protocollo che non conosco attualmente). Quindi inizialmente pe...
posta 27.06.2017 - 15:03