Domande con tag 'cookies'

domande con tag
4
risposte

La mancata conformità della normativa europea sui cookie come risultato in un rapporto sui test di penetrazione?

Recentemente ho notato un rapporto sui test di penetrazione in cui la non conformità della normativa sui cookie dell'Unione Europea (UE) è stata dichiarata come una scoperta in una "altra" categoria. Considero questo più un problema legale, lega...
posta 12.02.2018 - 12:49
4
risposte

Può una pagina web leggere i cookie di un'altra pagina?

Stavo ascoltando Pandora mentre mi collegavo qui, e la prossima pubblicità riguardava InfoSec. Questo mi ha fatto riflettere sul fatto che fosse una coincidenza (probabilmente) o se sapessero in qualche modo. Per farla breve, mi chiedevo se una...
posta 30.01.2014 - 21:10
2
risposte

Double Submit Cookies vulnerabilità

Il meccanismo Double Submit Cookies vulnerabile ad eccezione di XSS e sottodominio attacchi ? Tutti i meccanismi di protezione CSRF sono vulnerabili all'XSS, quindi non è una novità. Mi sto solo chiedendo se posso fare affidamento su que...
posta 05.06.2014 - 21:53
2
risposte

cookie XSS che ruba senza reindirizzare a un'altra pagina

Mi sto esercitando in VM seguendo la guida OWASP. So che è possibile rubare il cookie reindirizzando alla pagina "False" ecc. Ma vorrei rubare il cookie senza reindirizzare su un'altra pagina. Quindi, se hai qualche libro degli ospiti e poi i...
posta 22.01.2014 - 19:23
6
risposte

Un utente non può cambiare le informazioni sulla sua sessione per impersonare gli altri?

Non è possibile che un utente malintenzionato modifichi le informazioni relative alla sua sessione (o ai cookie perché sono memorizzate localmente) e quindi ingannare il server che è l'utente legittimo? Ad esempio, se un sito Web utilizza l'I...
posta 19.10.2016 - 16:38
2
risposte

C'è un modo per impedire agli hacker di usare i cookie per aggirare la verifica in due passaggi?

Prendiamo gli accessi Steam / Google / FB / Microsoft / Twitter come esempi. Tutti offrono una verifica in due passaggi tramite messaggio SMS. Supponiamo che l'hacker non abbia accesso al mio telefono. Ma ha accesso al mio computer in un dete...
posta 26.03.2018 - 17:48
3
risposte

La disconnessione da un sito Web garantisce che nessuno possa incidere i cookie?

Se faccio clic sul link di signout di un sito Web, significa che non è possibile per qualcuno dirottare il mio cookie e accedere con esso? Mentre sono loggato, è possibile per qualcuno che ha accesso al disco rigido del mio computer semplicem...
posta 12.08.2011 - 17:17
2
risposte

È sicuro archiviare l'hash della password in un cookie e usarlo per l'accesso "remember-me"?

Voglio memorizzare una stringa crittografata dell'hash della password in un cookie e utilizzare l'hash per cercare l'utente e registrarli (se vogliono essere ricordati). Questo è sicuro? La password è hash unidirezionale con SHA-512, 1024 ite...
posta 05.12.2011 - 15:26
2
risposte

Come è a rischio la mancanza del flag "SameSite"?

Al giorno d'oggi i cookie possono avere flag HTTPOnly, Secure e SameSite. Gli scopi delle flag HTTPOnly e Secure sono abbastanza chiari. Ma cosa impedisce esattamente lo scripting di SameSite e in che modo? Inoltre, come si presenterebbe uno...
posta 16.03.2017 - 21:51
2
risposte

OAuth token di accesso vs chiave di sessione

C'è qualche vantaggio rispetto alle sessioni basate su cookie OAuth (stabilite tramite nome utente / password) sotto le seguenti ipotesi? Esiste solo un client legittimo per il servizio Il segreto del client OAuth è stato compromesso (quin...
posta 15.09.2012 - 02:49