Le migliori http

5

risposte

Qualsiasi motivo NON per impostare tutti i cookie per utilizzare httponly e sicuro

Supponendo che un sito stia utilizzando tutto il HTTPS tutto il tempo (LB reindirizza la porta da 80 a 443), c'è qualche ragione per non forzare tutti i cookie impostati dall'applicazione ad utilizzare ENTRAMBI secure AND httponly ?...

posta 24.05.2018 - 20:08

10

risposte

Perché i protocolli sugli strati superiori possono essere lasciati invariati?

Nella sua risposta a " Come funziona SSL / TLS? ", Luc fornisce una spiegazione su come funziona SSL: SSL (and its successor, TLS) is a protocol that operates directly on top of TCP (although there are also implementations for datagram b...

posta 09.02.2015 - 12:10

3

risposte

Il metodo TRACE HTTP è una vulnerabilità di sicurezza?

Ho visto molti post qui su questo sito per dare consigli su come disattivare il metodo HTTP TRACE per impedire cross site tracing . Ho cercato di fare la stessa cosa. Ma quando leggo la documentazione di Apache , dà il consiglio contrario:...

posta 30.04.2014 - 11:46

3

risposte

C'è un modo per rilevare il web server nel caso in cui non sia presente in HEADER?

Sto cercando di individuare il server Web utilizzato da un determinato sito Web. Ad esempio se è nginX, Apache, Tomcat e così via. Di solito uso Live HTTP Headers add-on per Firefox. Il problema è che i siti a volte nascondono il loro ba...

posta 29.09.2014 - 08:13

6

risposte

È buona norma mostrare all'utente l'errore di accesso non autorizzato 403?

Ogni volta che vediamo una pagina di errore di accesso vietato 403 pensiamo di aver raggiunto un luogo in cui sono presenti alcuni dati segreti o privati. Ora a questo punto i cattivi sanno che questo potrebbe essere di interesse e iniziare a ve...

posta 28.11.2013 - 09:10

5

risposte

È possibile impostare un cookie sicuro da una connessione HTTP non sicura? Se è così, perché è permesso?

Con riferimento ad alcuni documenti di sicurezza che ho letto, ho scoperto che un cookie con il set di flag sicuro può essere inviato dal client solo tramite connessioni che utilizzano HTTPS, non HTTP, ma il cookie stesso può essere impostato da...

posta 26.10.2016 - 12:58

3

risposte

Bypassing HTTP to HTTPS memorizzato nella cache 301 reindirizza per utilizzare SSLstrip

Sto facendo una penna. prova su un server HTTPS (443) su cui non è implementata l'HSTS (nessun header HSTS sulla risposta e l'indirizzo non è presente nell'elenco precaricato di Chrome HSTS). Il problema è che nel mio scenario l'utente ha vis...

posta 23.12.2015 - 19:38

3

risposte

Questa intestazione HTTP_HOST non valida è parte di un exploit?

Abbiamo ricevuto un gran numero di messaggi di errore dalla nostra applicazione django, come questo: Invalid HTTP_HOST header: ‘target(any -froot@localhost -be ${run{${substr{0}{1}{$spool_directory}}usr${substr{0}{1}{$spool_directory}}bin${sub...

posta 02.06.2017 - 12:06

4

risposte

Informazioni sulle richieste di attacco HTTP GET

Ho catturato alcuni attacchi web. Sto cercando di capire quale scopo ottengono ciascuna richiesta di attacco. GET /site/public/timing?<!+XSS="><img+src=xx:x+onerror=alert(14721850.00337)//"> HTTP/1.1" 200 6718 GET /site/public/tim...

posta 29.08.2016 - 09:36

3

risposte

Quali sono gli svantaggi dell'implementazione dell'autenticazione HTTP in un'applicazione web? [duplicare]

So che esistono diversi tipi di meccanismi di autenticazione disponibili. Uno tra questi è l'autenticazione HTTP. Qual è il pericolo nell'uso di questo metodo rispetto ad altri metodi?

posta 15.09.2014 - 14:57

Domande con tag 'http'