Domande con tag 'appsec'

domande con tag
1
risposta

Sicurezza del servizio Web

Attualmente stiamo progettando un servizio Web che restituisce un messaggio JSON formattato. Di seguito sono riportate le implementazioni pianificate per la sicurezza del servizio: Una certificazione SSL al servizio per la sicurezza del...
posta 25.04.2012 - 08:51
4
risposte

Alla ricerca di nuovo software, controllando la loro cronologia della sicurezza?

Lavoro per un'azienda e stiamo cercando di creare un nuovo database / software di registrazione. In quanto tale, siamo passati attraverso molti software diversi, che vanno dalle tecnologie web di base a molto intricate. La mia domanda è: c'è...
posta 15.08.2016 - 20:32
2
risposte

Login: registrazione e occultamento della password

Ho un'app di terze parti che registra la password da ogni tentativo di accesso (indipendentemente dal successo o dall'errore). Si tratta di un'operazione standard e serve davvero qualsiasi scopo di sicurezza significativo? Non in uno scenario ho...
posta 24.05.2016 - 01:35
1
risposta

A parte il token di sincronizzazione, esiste un modo di protezione contro CSRF usando le intestazioni http?

Recentemente mi sono imbattuto in alcuni siti web usando HTTP Header, ovvero X-XSRF-Token e un cookie con un nome simile. È una soluzione migliore rispetto alla sicurezza basata su token casuali per CSRF?     
posta 15.01.2015 - 11:34
1
risposta

Come fa un QSA PCI a controllare un'azienda?

Le configurazioni aziendali sono spesso complesse con data center in più posizioni, ACL complessi e l'installazione di reti tra di loro. In che modo un revisore PCI verifica effettivamente i sistemi? Come fa a conoscere l'interno della ret...
posta 05.02.2013 - 11:32
1
risposta

sigsegv in php5.3.10

Ho trovato una situazione di overflow in php5.3.10. Probabilmente non è "qualcosa di nuovo", ma se posso capirlo, mi aiuterà a trovare questo tipo di bug più velocemente in futuro. Che cosa posso fare per verificare come / cosa / dove si v...
posta 05.11.2012 - 08:21
2
risposte

La tecnica "Double Submit Cookie" di CSRF ha un valore seme diverso per il cookie rispetto al POST HTTP?

Sto leggendo sul OWASP double submit cookies metodo di protezione e lì afferma che il valore del cookie tra l'intestazione e il modulo deve corrispondere. Questo sembra essere un po 'un rischio, come afferma l'articolo, dato che il valore i...
posta 09.02.2011 - 16:57
2
risposte

Si considera questa directory trasversale?

Quindi sto testando un sito che ha una url come questa example.com/dir1/dir2?nextPage=/someOtherDir/someHTMLfile.html Ho scoperto che posso fare per arrivare alla pagina iniziale example.com/dir1/dir2?nextPage=../../ oppure posso legge...
posta 17.07.2017 - 04:04
2
risposte

Ci sono dei problemi di sicurezza nel fare affidamento su un dominio di posta elettronica per assegnare automaticamente le autorizzazioni?

Sto lavorando in un nuovo sistema client e assegnano automaticamente le autorizzazioni in base al nome del dominio per l'indirizzo email in cui è stato creato l'account (richiedono la convalida tramite e-mail). Controllano che l'e-mail termin...
posta 02.11.2018 - 20:56
1
risposta

Sfruttare la richiesta PUT CSRF

Se l'applicazione utilizza la comunicazione RESTful, è necessario avere una protezione CSRF per le richieste PUT e DELETE? Per quanto ne so non è possibile attivare una richiesta PUT utilizzando JavaScript e quindi vorrei sapere se c'è uno sfrut...
posta 21.11.2015 - 10:44