Domande con tag 'appsec'

domande con tag
3
risposte

È una vulnerabilità mostrare messaggi di eccezione in una pagina di errore?

La nostra applicazione web ha una pagina di errore che mostra il percorso URL assoluto e la query della pagina in cui si è verificato l'errore, la data / ora dell'errore e il messaggio di eccezione. (Non visualizziamo la traccia dello stack. Que...
posta 09.06.2011 - 16:12
3
risposte

Qual è il punto della regola dello stesso dominio per xmlhttprequest quando i tag di script / JSONP possono attraversare i domini?

Ho capito che non voglio una pagina caricata da stackoverflow.com per poter richiedere gmail.com per mio conto e leggere la mia email - ma questo sembra essere semplicemente un problema di cookie. Poiché JSONP ignora interamente la stessa ori...
posta 23.03.2012 - 02:12
6
risposte

Esiste un rischio per la sicurezza che esegue app web in debug="true"?

Questa è una copia di l'originale domanda su Stack Overflow che non ha avuto molto amore ed è probabilmente più pertinente qui: Ci sono molti motivi per cui le app non devono essere eseguite in modalità debug="true" ( buon resoconto di Scot...
posta 16.12.2010 - 01:56
4
risposte

Come implementare l'autenticazione senza password in un sito web

In una risposta a questa domanda su pw reset , D.W. dice: Lastly, consider non-password authentication. Passwords have many problems as an authentication mechanism, and you might consider other methods of authenticating users, such as stor...
posta 21.05.2011 - 01:22
2
risposte

Cosa c'era dietro l'aumento delle vulnerabilità / patch di Adobe Flash Player nel 2015?

Non è un segreto che il 2015 sia stato un anno difficile, per quanto riguarda la sicurezza, per Adobe Flash Player. A parte Adobe stesso che inizia essenzialmente a deprecare lo sviluppo di Flash in gran parte a causa del fatto che lo stato di...
posta 04.01.2016 - 10:06
13
risposte

Come posso intercettare e modificare le richieste HTTP?

Sono disponibili strumenti gratuiti che consentono di intercettare e modificare le richieste HTTP per test? Sto cercando strumenti che mi permettano di inviare intestazioni HTTP personalizzate.     
posta 12.11.2010 - 14:41
4
risposte

AJAX è fondamentalmente insicuro?

Sul mio posto di lavoro molte persone credono che AJAX sia fondamentalmente insicuro. Ho l'impressione che AJAX sia esattamente sicuro di qualsiasi altro caricamento di pagina, dipende da come si codifica la chiamata / pagina. C'è un dife...
posta 09.03.2011 - 15:23
6
risposte

Soluzione per consentire l'input JavaScript ma prevenire XSS

Abbiamo un semplice sistema Blog che consente agli utenti di inserire HTML e JavaScript per creare una pagina del blog. Sono consapevole del fatto che consentire JavaScript apre la porta agli attacchi xss. Tuttavia, dobbiamo consentire agli uten...
posta 30.06.2011 - 09:20
3
risposte

Il modulo di accesso di Facebook utilizza SSL senza https nell'URL?

Se vado al link , non vengo reindirizzato a link . Se non ha https nell'URL, il login può essere sicuro? Di solito vengo reindirizzato a una pagina https su altri siti? In che modo Facebook gestisce il suo accesso?     
posta 08.10.2011 - 19:23
4
risposte

È sicuro servire qualsiasi file caricato dall'utente sotto i soli tipi di contenuto MIME in lista bianca?

Diciamo che sviluppo un'applicazione che, Consente a qualsiasi utente di caricare un file di tipo di contenuto e estensioni mime elencati in bianco (parola e pdf). Fornisce i file con l'estensione e il tipo di contenuto consentiti. Ques...
posta 15.02.2012 - 18:17