Domande con tag 'appsec'

domande con tag
1
risposta

Esiste uno svantaggio per il log locale rispetto al log in del server?

Per lo sviluppo di un'app mobile, è possibile scegliere di archiviare nomi utente e password nel dispositivo stesso o in un server (l'utente verrà autenticato su un server). Oltre a possibilmente l'utente deve gestire più password se ha più disp...
posta 13.11.2011 - 17:11
1
risposta

Come nascondere il pop-up della vittima nel clickjacking?

Sto testando un'applicazione Web per la vulnerabilità di click-jacking. L'attacco funziona bene per singoli clic, tuttavia sto cercando di eliminare un file e il frame nascosto (vittima) genera una conferma a comparsa. C'è un modo per nascond...
posta 19.04.2013 - 13:43
2
risposte

Conservazione dei pacchetti di certificati (file .pfx)

In un'applicazione distribuita in più ambienti (ad es. Test / Prod), qual è una buona pratica per archiviare il bundle di certificati specifici per l'ambiente (file .pfx)? È la password che protegge il file .pfx e lo memorizza con il codice d...
posta 29.03.2018 - 01:16
1
risposta

Restrizione IP Tomcat vs OAuth a due gambe

Abbiamo un'API lato server completamente basata su REST. Stiamo codificando per proteggerli con l'autenticazione di tipo oAuth a due zampe. In futuro prevediamo app per iPhone e Android, ma per ora disponiamo di un'applicazione client che sarà i...
posta 19.02.2012 - 19:08
2
risposte

Per i siti di upload degli utenti non attendibili: quale dovrebbe essere il contenuto di crossdomain.xml e clientaccesspolicy.xml?

Flash ha una lunga storia di ignorare i tipi di file MIME e di leggere il file direttamente per il contenuto eseguibile o per le autorizzazioni di esecuzione tra domini. Ciò significa che un utente malintenzionato può trarne vantaggio per creare...
posta 05.03.2012 - 02:18
2
risposte

Livello DMZ per server Web / livello presentazione

Ho bisogno di aiuto per spiegare ai non addetti alla sicurezza perché voglio richiedere il livello server / presentazione in un dmz. Ho fornito opzioni per un'architettura di livello due (presentazione / logica - > logica / dati in zone) e un...
posta 06.08.2017 - 15:48
1
risposta

Sta inviando recaptchaPublicKey e RecaptchaToken nella richiesta di posta una potenziale minaccia alla sicurezza?

Ho implementato reCaptcha in forma di login per rallentare il potenziale attacco di forza bruta. Tuttavia, l'applicazione invia recaptchaPublicKey & RecaptchaToken nella richiesta di post con le credenziali di accesso. Porta a una minaccia a...
posta 22.12.2017 - 13:01
1
risposta

Vulnerabilità legata al caricamento di file PHP

Sto valutando la sicurezza di un portale web per un cliente e ho trovato una vulnerabilità. Ho trovato una funzione in cui gestisce gli upload di file. Dovrebbe essere usato solo dagli amministratori, ma la funzione effettiva è direttamente r...
posta 15.01.2018 - 22:05
1
risposta

Qualsiasi vulnerabilità di sicurezza in PHP fsockopen

Sto valutando la sicurezza di un portale web per un cliente e ho trovato una vulnerabilità. Nel codice PHP, il codice analizza un URL fornito dall'utente, trova il nome host, quindi esegue questa operazione: fsocketopen ("http: //" $ URL_H...
posta 15.01.2018 - 20:26
1
risposta

Profilo dell'Apparmor che nega l'accesso in lettura con flag r

Ho generato un profilo di apparmor per il tor binario che viene fornito in Ricochet: # Last Modified: Sun Apr 2 2017 #include <tunables/global> /ricochet/*-ricochet/tor { #include <abstractions/base> deny /etc/ld.so.preload...
posta 03.04.2017 - 15:36