Domande con tag 'appsec'

domande con tag
8
risposte

Dovrei preoccuparmi più di insegnare buffer overflow?

Gli studenti sono scettici sul fatto che spegnere stack non eseguibili, spegnere i canarini e disattivare ASLR rappresenta un ambiente realistico. Se PaX, DEP, W ^ X, ecc. Sono efficaci nell'arrestare gli exploit di overflow del buffer, c'è anco...
posta 01.03.2011 - 04:42
5
risposte

Come eseguire un controllo di sicurezza per un'applicazione PHP?

Ho un'applicazione PHP che mi piacerebbe avere verificata per sicurezza. Conosco la maggior parte dei problemi di sicurezza generali, ma voglio essere sicuro che non mi sia mancato nulla. Quali misure dovrei prendere per eseguire un auto-audi...
posta 11.11.2010 - 22:47
1
risposta

Quali attacchi di cookie sono possibili tra computer in domini DNS correlati (* .example.com)?

Qui, diversi server nello stesso dominio DNS emettono cookie in una varietà di impostazioni (scope, HTTPS, Secure) e un altro host emette un cookie con lo stesso valore. Esempio Supponiamo che un utente abbia il seguente cookie impostato...
posta 05.03.2012 - 02:03
4
risposte

Cosa trasferire? Password o il suo hash?

Diciamo che nel mio database memorizzo le password con hash con un hash abbastanza costoso (scrypt, 1000 round di SHA2, qualunque sia). Al momento del login, cosa devo trasferire sulla rete e perché? Password o il suo hash? È possibile pro...
posta 30.06.2011 - 14:47
4
risposte

Va bene rivelare i nomi delle tabelle del database?

Sto sviluppando un'applicazione web che utilizza il database. Devo eseguire alcune operazioni che richiedono i nomi delle tabelle del database e lo schema della tabella db. Sarà sicuro se invio questo tipo di informazioni al lato client (JavaScr...
posta 06.05.2013 - 10:11
2
risposte

Come può una applicazione software difendersi da DoS o DDoS?

La maggior parte delle soluzioni per gli attacchi DoS non sono a livello di applicazione. Nel caso in cui io stia usando un server proxy, quali sono le possibili contromisure per la DoS a livello di applicazione?     
posta 12.11.2010 - 16:41
5
risposte

Qual è il modo corretto per implementare token modulo anti-CSRF?

Sono pienamente consapevole di CSRF e ho già implementato alcuni moduli sicuri, ma non sono mai stato contento i risultati ancora. Ho creato token come md5 di username, informazioni sul modulo e salt e lo ho memorizzato in una sessione. Q...
posta 12.11.2010 - 08:58
8
risposte

Come evitare le corrispondenze di username e password quando si modifica un nome utente?

Diciamo che ho un sistema in cui uno dei requisiti di sicurezza impedisce agli utenti di scegliere una password che corrisponda al loro nome utente. I nomi utente non sono case sensitive ma le password sono. Le password vengono memorizzate dal s...
posta 07.03.2016 - 20:36
5
risposte

Il filtraggio dei dati di input dell'utente è sufficiente o dovrebbe essere analizzato?

In un'applicazione web ci potrebbero essere due approcci per mitigare gli attacchi XSS: tutti i dati di input possono essere filtrati (rimuovendo tutti i dati "cattivi") o l'input può essere analizzato, tokenizzato e prodotto solo con i ta...
posta 11.11.2010 - 22:45
3
risposte

Quali cose utili posso fare con l'elemento "keygen" html5?

C'è un nuovo * keygen elemento nella specifica html5 . È supportato nei principali browser ad eccezione di Internet Explorer e Safari. Ecco come appare: <form action="processkey.cgi" method="post" enctype="multipart/form-data">...
posta 15.08.2011 - 11:56