Domande con tag 'header'

domande con tag
1
risposta

Controllo della cache: nessuna cache sufficiente per informazioni sensibili come conti bancari, ecc.?

Ho letto da qualche parte che quando si memorizzano informazioni sensibili su un sito web si dovrebbe includere cache-control: no-store per dire al browser di non memorizzare quelle informazioni sul sistema locale. Ma penso che quando viene...
posta 04.09.2018 - 17:07
1
risposta

Autenticazione HTTP - il nome dell'intestazione HTTP è Autorizzazione - perché?

Perché tramite l'autenticazione HTTP l'intestazione HTTP che contiene le credenziali è chiamata "Autorizzazione"? Qualche spiegazione storica? Te lo chiedo perché ho capito che alcune persone mescolano l'autenticazione con l'autorizzazione e...
posta 17.08.2016 - 10:17
1
risposta

X-Content-Type-Options senza tipo di contenuto

X-Content-Type-Options aiuta a proteggere dagli attacchi che sfruttano il browser cercando di interpretare le risposte HTTP con un Content-Type dichiarato in modo errato. Ma cosa succede quando la risposta HTTP imposta l'intestazi...
posta 05.10.2017 - 17:14
1
risposta

L'inserimento dell'intestazione dell'host è possibile senza la cache o la reimpostazione della password?

Sono un principiante nella sicurezza e nella lettura dell'iniezione di intestazione host. Ho provato un'applicazione per questa vulnerabilità ed è possibile per alcune richieste, ma lo sviluppatore ha implementato i flag no-cache, no-store e que...
posta 20.12.2017 - 08:03
2
risposte

Come posso ricevere questa email?

Di solito cancello SPAM, ma questa email ha attirato la mia attenzione: Comepuoivedere,nelcampo"A:" c'è un account spammer, ma ho pensato: non è importante, nell'intestazione del messaggio ci deve essere un parametro "per" nascosto che colle...
posta 18.10.2016 - 17:19
1
risposta

Come può l'intestazione Origin essere utilizzata per prevenire CSRF se Firefox non lo invia per le stesse richieste di origine o richieste dagli URI di dati?

Ho intenzione di utilizzare i token di sincronizzazione per la prevenzione CSRF, ma OWASP consiglia controllando anche le intestazioni di referrer e di origine. Ho cercato di capire la logica corretta per questo, ma i miei esperimenti suggeris...
posta 20.09.2016 - 18:22
2
risposte

Content Security Policy Intestazione che non interrompe l'attacco

Ho creato una semplice applicazione web di test per testare l'utilizzo dell'intestazione del criterio di sicurezza del contenuto. Ho incluso una vulnerabilità nella mia app di test, in modo tale che l'invio di un payload XSS di base con tag di s...
posta 19.11.2018 - 15:54
1
risposta

Non sicuro per consentire tutte le intestazioni? [chiuso]

Al momento sto sviluppando una webapp. Per testare e sviluppare ho permesso tutte le intestazioni. Non è sicuro per l'uso produttivo? Header unset Connection Header unset Time-Zone Header unset Keep-Alive Header unset Access-Control-Allow-Orig...
posta 10.06.2016 - 18:31
3
risposte

TLS per proteggere l'autenticazione HTTP di base

L'autenticazione di base, inclusi i token bearer, dipendono dall'uso di TLS per impedire agli intercettatori di ottenere credenziali o token sensibili. Ma penso che ci sia un elefante nella stanza di cui nessuno parla. Gli utenti spesso digit...
posta 04.10.2016 - 14:52
2
risposte

Puoi rintracciare qualcuno attraverso le informazioni di intestazione dell'immagine?

Ho appreso che jpg, png, bmp e la maggior parte dei file di immagine contengono intestazioni e testo semplice al loro interno. Ho deciso di aprire un file jpg nel Blocco note e ho visto un sacco di informazioni e mi chiedevo se c'era un modo per...
posta 06.05.2016 - 03:28