Domande con tag 'api'

1
risposta

Vale la pena verificare la richiesta nome host nelle comunicazioni API-API?

Durante l'autenticazione da un'applicazione browser a un livello API, è possibile verificare l'origine della richiesta per le richieste CORS. Sono consapevole che questo è principalmente per prevenire gli attacchi CSRF. Non impedisce a un utente...
posta 10.12.2017 - 20:49
2
risposte

JWT o chiavi pubbliche-private per il servizio di servizio delle chiamate API

Sto cercando di configurare l'autenticazione tra due servizi applicativi. Il servizio A chiamerà il servizio B e desidero che il servizio B accetti solo le chiamate (http) dal servizio A, da nessun'altra parte. So come funziona l'autenticazio...
posta 09.03.2018 - 09:03
2
risposte

OWASP Secure Headers per i servizi Web

Le seguenti intestazioni sono obbligatorie per un servizio Web che gestisce le richieste POST e restituiscono i dati utilizzando SOAP? HTTP Strict Transport Security (HSTS) X-Frame-Options X-XSS-Protection X-Content-Type-Options Cont...
posta 13.11.2017 - 09:00
5
risposte

Qual è il modo migliore per proteggere le risorse Web quando fornisci l'API come servizio Web?

Ecco la condizione: Ho un'API di servizi web che sto pianificando di vendere come servizio. L'output dell'API contiene URI di alcune risorse (ad esempio immagini, video) che dovrebbero essere accessibili a quell'utente utilizzando l'API. Espo...
posta 23.02.2017 - 07:46
1
risposta

Prevenire un rutto e un'intercettazione

Ho creato un'API di autenticazione per gestire le sessioni utente e i lavori. Per accedere a un utente, l'utente invia le proprie credenziali al mio endpoint API e restituisce "true" o "false" in base al proprio accesso. Recentemente ho ricevuto...
posta 16.12.2017 - 20:59
2
risposte

Cosa devo usare per l'autenticazione per la mia API di Django Rest?

Ho appena letto questo articolo sul perché JWT fa schifo. Ora sono incerto su cosa dovrei usare per l'autenticazione. Per contesto: l'API che ho scritto è utilizzata principalmente dalle app mobili (iOS e Android). In futuro sarà anche acce...
posta 29.04.2018 - 17:16
3
risposte

Rivelare correttamente le carenze di sicurezza dell'API privata

Spero di riuscire a orientarmi sul modo corretto di divulgare correttamente le mancanze gravi con un'API di servizi web privata (fonte chiusa). Inizialmente pensavo che l'API sarebbe stata relativamente ben implementata, quindi ho deciso di s...
posta 11.01.2016 - 05:35
3
risposte

Qual è l'uso di nonces nelle API HTTPS

Ho usato API che richiedono un nonce per ogni richiesta. Se le richieste HTTPS non sono riproducibili, vedi qui link , qual è la ragione per richiedere nonce per le API HTTPS? Serve solo a garantire che i consumatori legittimi non emettano r...
posta 24.07.2017 - 19:33
1
risposta

Come sfruttare una politica CORS mal configurata quando è richiesto un token di autorizzazione per utente?

Recentemente abbiamo ottenuto un'API per la verifica della sicurezza. Le intestazioni CORS dell'API sembrano configurate in modo errato come quando abbiamo provato a richiedere l'endpoint con http://attacker.com come origine il server ha re...
posta 07.02.2017 - 12:38
1
risposta

Autenticazione JWT e schema di autorizzazione

Stavo passando per i documenti di Oauth2 e pensavo che fosse una sorta di sicurezza permissiva, quindi ho provato a implementare token JWT con uno schema speciale come nell'immagine per un'app mobile che comunica con un'API Web. Note: non mi...
posta 12.05.2016 - 23:28