Domande con tag 'appsec'

domande con tag
1
risposta

Perché memorizzare un salato a fianco della password con hash? [duplicare]

Comprendere la necessità di credenziali di protezione con hash che sono costosi e utilizzare i sali casuali crittografici. Quello che vorrei capire è il motivo per cui dovresti conservare il sale accanto all'hash nel database, non è questo...
posta 22.09.2015 - 18:36
1
risposta

Esiste un firewall per applicazioni web equivalente a virustotal?

Mi chiedo se esiste un firewall per applicazioni Web (WAF) equivalente a VirusTotal ? Un sito in cui posso lanciare per esempio stringhe di injection, exploit o xss, e mi dirà quali saranno le impostazioni di default per i vari WAF in grado di...
posta 07.06.2011 - 23:16
2
risposte

Devo impedire all'utente di operare con il sito durante alcuni primi secondi?

Immagina il seguente scenario: l'utente è attacker.com e gioca lì. Poco prima di fare clic su un punto, viene reindirizzato a victim.com utilizzando la cronologia del browser. L'utente pensava di aver cliccato su attacker.com ma in realtà...
posta 22.12.2011 - 12:08
4
risposte

Quali sono le principali considerazioni sulla sicurezza che devono essere prese in considerazione se si intende creare un sito Web (localizzato) informatore?

Inoltre: è qualcosa che può essere raggiunto con fondi limitati? Lo chiedo perché sono affascinato dagli ostacoli che sono in atto.     
posta 26.02.2014 - 23:06
3
risposte

Eventuali difetti in questo modello di sicurezza per un servizio Web REST?

Ho progettato un servizio web REST che richiede l'autenticazione. Gestisce l'autenticazione in modo simile ai servizi Web Amazon, ovvero: l'utente ha un ACCESS_KEY (ad esempio, 'abcd') e un SECRET_KEY (ad esempio 'aabbcc'). Il SECRET...
posta 19.09.2011 - 19:50
2
risposte

Perché dovrei limitare il tipo di contenuto dei file da caricare sul mio sito?

Stiamo costruendo un'applicazione in cui gli utenti possono caricare i curriculum nel nostro sistema affinché i nostri amministratori possano scaricare. Stiamo discutendo di limitare il tipo di contenuto dei file che possono essere caricati....
posta 09.02.2012 - 18:00
4
risposte

Vale la pena, dal punto di vista della sicurezza, limitare l'utente del server database per il sito Web ASP.NET al solo ESEGUI sulle stored procedure?

So che ovviamente dobbiamo evitare gli attacchi SQL injection tramite la convalida dell'input dell'utente e le query parametrizzate. C'è già un firewall sul server del database per limitare le connessioni remote ad essere accettate solo dal serv...
posta 09.08.2011 - 22:51
3
risposte

Trovare un consulente per la sicurezza per fare una revisione approfondita del codice?

Abbiamo un'applicazione PHP che sappiamo avere scarse pratiche di programmazione (perché gli sviluppatori non avevano una buona conoscenza dei fondamenti di programmazione / PHP). Ciò potrebbe portare allo scenario in cui abbiamo gravi difetti d...
posta 02.12.2010 - 03:13
4
risposte

Automazione della prevenzione dell'ingegneria sociale

Essendo un sostenitore della DIO (operazioni di informazione difensiva), sono sempre stato interessato all'ingegneria sociale e alla sua relazione con la sicurezza del server. Dare accesso amministrativo ai membri dello staff richiede fiducia ch...
posta 16.08.2012 - 20:19
2
risposte

Ci sono sequenze diverse da ../ che saranno interpretate come directory traversal in * nix o Windows?

Una vulnerabilità comune è che le applicazioni Web accettino un percorso del file system come parametro di richiesta e quindi eseguano alcune azioni sul percorso specificato. Ad esempio, il recupero di un file e il suo invio all'utente, o forse...
posta 25.04.2016 - 20:54