Domande con tag 'api'

domande con tag
1
risposta

In che modo includere un prefisso magico a una risposta JSON per impedire gli attacchi XSSI?

Mentre lavoravo a un progetto che utilizzava l'API REST per Gerrit Code Review, ho notato che facevano qualcosa che pensavo fosse strano Fonte : To prevent against Cross Site Script Inclusion (XSSI) attacks, the JSON response body starts w...
posta 13.01.2016 - 21:57
1
risposta

Intestazioni di sicurezza per un'API Web

Ho appena ottenuto un setup, un golang web api dietro un server caddy che ha HTTPS di default tramite Let's Encrypt, il server trasmette tutte le richieste al web API. Così sono andato in giro per testare la mia "sicurezza" del web server su sit...
posta 07.01.2017 - 01:05
1
risposta

Protezione dell'API contro gli attacchi DDoS

Ho progettato un servizio di back-end accessibile solo tramite un'API REST personalizzata. Come ho capito, servizi come CloudFlare sono progettati per proteggere il traffico HTTPS e non si applicano alle API personalizzate. Come posso protegg...
posta 15.02.2016 - 13:56
1
risposta

Determina automaticamente se una particolare versione del prodotto è vulnerabile?

Sto costruendo un sistema che contiene molti dati sulle diverse versioni di vari software di rete (software client, server, ecc.) in un formato leggibile. C'è una API che potrei interrogare come "Esistono RCE non autentificati per Microsoft Exch...
posta 07.12.2015 - 13:10
2
risposte

HTTPS Intestazione richiesta POST rispetto al corpo della richiesta

C'è qualche differenza di sicurezza tra l'immissione di dati sensibili, come una chiave API in una richiesta POST header rispetto alla richiesta POST body assumendo che il server API sia solo HTTPS ? Mentre si vedono spesso le chiavi API...
posta 26.08.2015 - 19:37
1
risposta

Impatto dell'utilizzo di una connessione NON-SSL / TLS per le chiamate API sullo stesso server

Ho due domini ospitati sullo stesso server, Dominio A e Dominio B, entrambi i domini hanno indirizzi IP diversi, assumendo gli IP 1.1.1.1 per il Dominio A e 2.2.2.2 per il Dominio B. Ogni dominio ha un sistema diverso che comunicherà con l'al...
posta 14.12.2015 - 14:32
1
risposta

Qual è lo scopo di un token API e un segreto API?

Quindi, se un utente si autentica sul sito utilizzando un nome utente / pw, ottiene un token di sessione che viene passato di nuovo al server per convalidare chi sono. Tuttavia, quando usi un'API come Twitter o 4square, hai sia un token che u...
posta 09.02.2016 - 22:49
3
risposte

Motivo per utilizzare solo i segreti come chiavi API?

Molte API protette con le chiavi API usano solo la chiave segreta (cioè una password) senza qualcosa come un ID account o un nome utente. Ad esempio, l'API Stripe utilizza la chiave segreta come nome utente in Autenticazione di base, lasciand...
posta 12.04.2018 - 15:45
1
risposta

Metodo di autenticazione semplice per proteggere l'API REST

Ho cercato disperatamente di trovare un metodo semplice per proteggere la mia API, ma non ne ho ancora trovato uno che funzioni. A differenza di molte API RESTful, la mia API non ha bisogno di accessi utente, token che scadono o altri metodi di...
posta 17.07.2016 - 01:46
1
risposta

Che tipo di hashing usare per memorizzare i token dell'API REST nel database?

Abbiamo un'API REST che comunica con un front-end mobile. Dopo aver inviato una sola password, il backend emetterà un token (stringa UUID v4 casuale) per l'app mobile da utilizzare come autenticazione nelle richieste successive. Il server memori...
posta 14.02.2017 - 01:42