Domande con tag 'appsec'

domande con tag
1
risposta

Quali altre vulnerabilità oltre alla directory traversal rientrano in IDOR?

La vulnerabilità più comune nella categoria OWASP Riferimento all'oggetto diretto non sicuro è l'attraversamento di directory. Quali sono le altre vulnerabilità che rientrano in questa categoria?     
posta 07.01.2017 - 08:11
1
risposta

Problemi di sicurezza con un errore del server ASP.net [duplicato]

Ci sono problemi di sicurezza che potrebbero sorgere da un errore del server generato da ASP.net e inviato all'utente? Sono a conoscenza dei potenziali problemi derivanti dall'invio di informazioni sensibili nel messaggio di errore, ma quanto...
posta 14.03.2016 - 16:12
1
risposta

Implicazioni sulla sicurezza della chiave e del segreto dell'API Dropbox esposto

Ho notato che l'SDK PHP di Dropbox richiede di inserire le credenziali API in un file JSON che potrebbe essere pubblicamente disponibile se il codice SDK è inserito nella directory DOCUMENT_ROOT. Quali sono le implicazioni sulla sicurezza se un...
posta 12.12.2015 - 14:54
1
risposta

VLAN, subnet e un server di database sensibile

Ho un database sensibile e due categorie di dipendenti Categoria A e Categoria B. La Categoria A non richiede l'accesso al database sensibile mentre la categoria B richiede l'accesso al database. Inizialmente pensavo di creare semplicemente 3...
posta 29.07.2016 - 15:10
2
risposte

Come testare la vulnerabilità del caricamento delle immagini in un'applicazione mobile?

Sto amministrando un'applicazione mobile con molti utenti. Gli utenti possono caricare le proprie immagini .jpg. Non posso sapere in questo momento se gli input delle immagini sull'applicazione che sto amministrando sono sterilizzati o meno,...
posta 14.08.2015 - 01:08
1
risposta

Problemi di autenticazione e archiviazione / websocket con token

La mia applicazione sta eseguendo un'autenticazione API che utilizza token anziché cookie. Questo mi porta a porre alcune domande: Qual è il modo più sicuro per archiviare il token? Usando token casuali si elimina il problema degli att...
posta 18.12.2013 - 00:10
1
risposta

Va bene usare lo stesso certificato SSL per la firma / crittografia HTTPS e SOAP?

Attualmente mi occupo di una piattaforma di integrazione con connessioni di servizi Web basate su SOAP verso organizzazioni partner. Al momento, lo stesso certificato SSL viene utilizzato sia per la sicurezza a livello di trasporto (HTTPS tramit...
posta 16.11.2018 - 01:56
0
risposte

Guida alla prova OWASP Equivalente per applicazioni desktop [chiusa]

Mi stavo chiedendo se qualcuno di voi conosce una guida simile alla OWASP Testing Guide ma intesa specificamente per le applicazioni desktop? Non ho avuto fortuna a cercare su Internet. Sto cercando qualcosa che si concentri su o includa i...
posta 18.10.2018 - 22:25
1
risposta

Protezione da distruzione dello stack, riordinamento delle variabili

Pochi giorni fa ho iniziato a leggere un articolo sull'esclusione di SSP / ProPolice e, dopo averlo letto, ho provato i bypass, ma non hanno funzionato. Questo è il codice che ho usato: int f (char ** argv){ int pipa; // useless v...
posta 06.06.2013 - 17:52
2
risposte

Doppia autorizzazione (Social Auth 2.0)

Riesci a vedere alcune ovvie difficoltà nel richiedere a più di 2 utenti di confermare le richieste di autenticazione utilizzando un'associazione come un tipo di relazione di amicizia. Un'applicazione pratica sarebbe un'applicazione Enterpris...
posta 20.08.2013 - 11:30