Domande con tag 'appsec'

domande con tag
5
risposte

Come posso esportare la mia chiave privata da un keystore di Keytool Java?

Vorrei esportare la mia chiave privata da un keystore Java Keytool, quindi posso usarla con openssl. Come posso farlo?     
posta 13.05.2011 - 13:11
6
risposte

Come implementare in modo sicuro una funzione "Ricordami"?

Supponendo che tu abbia già un sito web che implementa tutti gli elementi di accesso standard, qual è il modo corretto e più sicuro per consentire agli utenti di accedere automaticamente per un certo periodo di tempo (diciamo 30 giorni)? Questo...
posta 11.11.2010 - 23:32
5
risposte

Standard per la crittografia delle password nei file di configurazione?

Il mio posto di lavoro ha uno standard che le password in chiaro non sono consentite nei file di configurazione dell'applicazione. Ciò ha abbastanza senso sul suo volto, nel caso in cui qualcuno acceda ai file di configurazione non abbia automat...
posta 16.05.2012 - 17:40
5
risposte

Nuovo cheat XSS? [chiuso]

C'è una grande lista di vettori XSS disponibile qui: link , ma non è cambiata molto ultimamente (es. . ultima versione FF menzionata è 2.0). C'è qualche altro elenco buono come questo, ma aggiornato?     
posta 12.11.2010 - 09:14
3
risposte

Come sfruttare i metodi HTTP

Molti scanner di sicurezza come nikto , nessus , nmap e w3af a volte mostrano che alcuni I metodi HTTP come HEAD, GET, POST, PUT, DELETE, TRACE, OPTIONS, CONNECT, ecc. Sono vulnerabili agli attacchi. Che cosa fanno queste intestazioni e...
posta 10.10.2012 - 22:23
4
risposte

Come iniettare codice dannoso eseguibile in PDF, JPEG, MP3, ecc.?

Volevo sapere se è generalmente possibile iniettare codice eseguibile in file come PDF o JPEG ecc. o deve esserci un qualche tipo di buco di sicurezza nell'applicazione? E se sì, come si farebbe? Sento spesso che le persone vengono inf...
posta 13.10.2011 - 20:59
6
risposte

Test per il metodo HTTP TRACE

Come posso testare HTTP TRACE sul mio server web? Ho bisogno di addestrare un tester su come verificare che il metodo HTTP TRACE sia disabilitato. Idealmente ho bisogno di uno script per incollare in Firebug per avviare una connessione h...
posta 27.02.2013 - 22:34
5
risposte

Ci sono problemi di sicurezza con l'incorporamento di un iframe HTTPS su una pagina HTTP?

Ho visto siti web mettere iframe HTTPS su pagine HTTP. Ci sono problemi di sicurezza con questo? È sicuro trasmettere informazioni private come i dati della carta di credito in uno schema di questo tipo (in cui le informazioni vengono solo...
posta 30.11.2010 - 18:13
3
risposte

Come dovrebbero difendersi gli sviluppatori di app Web contro il dirottamento JSON?

Qual è la migliore difesa contro dirottamento JSON ? Qualcuno può enumerare le difese standard e spiegare i loro punti di forza e di debolezza? Ecco alcune difese che ho visto suggerite: Se la risposta JSON contiene dati riservati / non...
posta 09.09.2011 - 05:09
8
risposte

Se includo un servizio di password dimenticata, qual è il motivo dell'utilizzo di una password?

Ho implementato un servizio di password dimenticata nel modo seguente: L'utente accede alla pagina di accesso, fa clic su "Hai dimenticato la password?" L'utente viene presentato con un modulo che richiede il suo indirizzo email. L'e-mai...
posta 17.03.2012 - 04:02