Domande con tag 'appsec'

domande con tag
2
risposte

Il modo migliore per impostare in modo sicuro un cookie di sessione su un altro dominio

Al momento abbiamo 2 siti http://www.foo.co.uk e https://secure.foo.com . Il sito www non ha un certificato SSL e si trova su un dominio diverso. Abbiamo un pulsante di accesso su http://www.foo.co.uk che quando si fa clic ap...
posta 25.10.2012 - 10:21
2
risposte

Pagina protetta da password dimenticata: un'implementazione stateless server è valida?

Questa è un'altra domanda "Come è stata dimenticata la mia password?". Tuttavia, affronta esplicitamente due opzioni di implementazione che ho incontrato di recente. Gli approcci comuni [1,2] che conosco sono basati su un token casuale che pu...
posta 17.02.2015 - 10:57
1
risposta

Che cos'è un attacco per la reimpostazione della password "Swap cookie"?

Sto guardando su Blackhat corsi di formazione app e googling. Citano un tipo di attacco per "Password Reset Attacks" noto come "Swap cookie"; vedi qui . Anche se non mi piace fare questo tipo di post non riesco a trovare nulla su questo tipo...
posta 04.10.2018 - 04:50
8
risposte

Come proteggere dalla forza bruta

Come implementate correttamente le difese contro il forzamento bruto? È meglio memorizzare quante volte qualcuno ha provato ad accedere e bloccarli dopo X tentativi? E come si potrebbe identificare "qualcuno"? Con la sessione? Un IP?     
posta 03.12.2010 - 13:32
1
risposta

Assegnare chiavi decifrate a una variabile nell'applicazione protetta? [duplicare]

Diciamo che ho recuperato una chiave segreta crittografata dal server. Lo decrypt per ottenere l'attuale chiave segreta, assegnare la chiave decodificata a una variabile nella mia app. Qualcosa su questo: const encryptedKey = fetchKeyFromSer...
posta 10.05.2017 - 07:35
1
risposta

Quali usi pratici ci sono per la funzione AD di "Attributi riservati"

Esistono applicazioni (standard o interne) che sfruttano gli attributi riservati di Active Directory di Active Directory? Qui memorizzerai informazioni sensibili come una chiave privata o una salata? Sto pianificando una dimostrazione d...
posta 17.10.2011 - 22:24
1
risposta

Quanto sono sicuri i membri di appartenenza e ruolo ASP.NET predefiniti per Sql Server?

Ho un'idea molto semplice di come funzionano. Li ho usati molte volte quando avevo bisogno di un sistema di gestione degli utenti piuttosto che scrivere il mio. Ma dovrei usare questi per un sistema di produzione? Gli account utente di Windows i...
posta 17.06.2011 - 23:07
1
risposta

Sfruttabilità delle vulnerabilità use-after-free

Gli errori use-after-free sono una particolare classe di bug di sicurezza della memoria. Quanto spesso sono sfruttabili, in pratica? Quando trovi un bug "use-after-free" in un programma, è spesso sfruttabile, raramente sfruttabile o varia in bas...
posta 21.03.2014 - 21:24
8
risposte

Qual è la vulnerabilità nel mio codice PHP?

Un mio sito Web è stato recentemente violato. Sebbene il sito web reale rimanga invariato, sono stati in qualche modo in grado di utilizzare il dominio per creare un link reindirizzato a una truffa di phishing ebay. Ho rimosso il sito web, pe...
posta 19.01.2011 - 06:03
8
risposte

Il seguente schema di autenticazione è sicuro?

Stavo cercando di progettare un sistema di autenticazione che renderebbe molto più difficile indovinare una password tramite la forza bruta e ridurre il rischio per un utente se la password con hash è stata rubata tramite un attacco basato sullo...
posta 02.08.2011 - 14:02