Domande con tag 'api'

1
risposta

API CSRF e JSON

Stavo cercando un'implementazione CSRF per Express.js e ho trovato qualcosa che mi ha colpito, in questo post si dice che un'API JSON è vulnerabile agli attacchi CRSF ... è corretto? non è possibile creare una richiesta JSON per eseguire un'oper...
posta 09.02.2017 - 18:50
2
risposte

Utilizzo di JTWs nell'implementazione OAuth

Attualmente sto creando un'API con cui comunicare un'app. Gli endpoint di API verranno protetti, quindi mi piacerebbe utilizzare un flusso OAuth con JWT per la sicurezza. Il mio flusso andrà in questo modo: Ricevi e convalida le credenziali...
posta 23.11.2016 - 01:20
2
risposte

Conformità PCI DSS per il cliente

Sono nuovo di PCI DSS. Sto codificando un plugin WordPress personalizzato per un nostro cliente che mostra un modulo sui loro siti web. Questo modulo prenderà i nomi dei clienti, e-mail, numero di preventivo, importo e dettagli della carta. Quan...
posta 15.11.2016 - 16:02
2
risposte

È un approccio abbastanza buono per proteggere un'API RESTful?

Voglio utilizzare l'autenticazione basata su token in cui l'utente effettua il login con una combinazione nome utente / password. Il server dovrebbe assicurarsi che il nome utente e la password corrispondano e quindi restituire un token che sare...
posta 02.09.2016 - 17:46
1
risposta

In che modo Zeus (e altro malware) inserisce il codice in altri processi

Recentemente, ho studiato il funzionamento del malware, più recentemente il famigerato Zeus Bot, e ho notato una cosa che non sembra comprendere: il malware è in grado di agganciare le API nei processi e usarli per, ad esempio, rubare dati. Ma,...
posta 26.01.2016 - 15:50
1
risposta

Protezione dell'API REST senza inviare o archiviare credenziali chiare

Attualmente stiamo progettando un'API REST e stiamo pensando di metterlo al sicuro. Passando attraverso molta documentazione, è diventato chiaro che sono disponibili 2 opzioni. Autenticazione HMAC Mediante hashing con HMAC-sha1 una serie...
posta 13.07.2015 - 16:52
1
risposta

Come impedire l'aggiornamento di un token di accesso rubato

Lo scenario è: hai un token di aggiornamento che è valido per un periodo di tempo più lungo e un token di accesso che è valido per un periodo di tempo più breve. Il setup: c'è un client, un application server e un server di autenticazione....
posta 11.05.2018 - 09:35
1
risposta

Utilizzo di Simple JWT per Public Fa API Auth

Sto guardando i metodi di sicurezza per le API. Utilizzando i token di accesso JWT dopo l'accesso del client con l'utente / password, funzionerà bene per le app Web interne utilizzando le nostre API. Tuttavia, sto valutando come proteggere le no...
posta 19.05.2017 - 04:19
2
risposte

C'è qualcosa di sbagliato nell'usare lo stesso nome utente per tutti gli utenti api con l'autenticazione di base HTTP?

Sto creando un'API Web che accoda i messaggi e instrada i webhook su singoli siti. Il servizio di posta elettronica transazionale MailGun fornisce una chiave API per tutti gli utenti, che viene utilizzata come password di autenticazione di base...
posta 29.03.2017 - 21:48
1
risposta

Generazione di un token specifico della richiesta per un'API

Abbiamo un'API apertamente accessibile attraverso una visualizzazione dei dati su un sito Web e un'app. Vorremmo rendere la vita dei potenziali data scrapers un po 'più difficile. La prima cosa che abbiamo fatto è stato aggiungere un po 'di t...
posta 10.10.2017 - 04:21