Domande con tag 'http'

domande con tag
1
risposta

Qual è la differenza tra MITMproxy e SSLsplit?

Sono consapevole del fatto che MITMproxy acquisisce solo i protocolli HTTP / HTTPS in cui SSLsplit è un proxy trasparente e quindi può acquisire anche altre comunicazioni di protocollo non HTTP. Tuttavia MITMproxy può funzionare anche come proxy...
posta 04.02.2016 - 23:27
5
risposte

Server Apache / Linux, attacco DoS dal proprio IP

Ho un problema insolito che ho provato a diagnosticare per un po ': Si tratta di un server Debian che esegue una compilazione personalizzata di apache 2.2 con PHP, Red5, MySQL 5.5 (binario standard), sendmail (versione distro) e crashplan....
posta 12.02.2013 - 19:25
3
risposte

Perché qualcuno dovrebbe bloccare tutti i metodi diversi da GET e POST in un'applicazione RESTful?

TL; DR: C'è una ragione valida per chiedere a un fornitore di software di smettere di usare i metodi% PUT e DELETE in un'applicazione web e usare solo GET e POST ? L'applicazione utilizza framework per whitelist percorsi...
posta 14.12.2018 - 17:36
3
risposte

È possibile "proteggere" contro gli attacchi MITM su HTTP?

In una conversazione su Twitter ho avvertito un sito di una vulnerabilità di sicurezza. Nello specifico, la possibilità di un attacco MITM (Man in the Middle) ha compromesso il loro modulo di registrazione. La risposta al mio avvertimento e...
posta 09.04.2013 - 20:17
1
risposta

C'è qualche prova che usa male l'intestazione HTTP Pragma nelle risposte ha qualche effetto (unico)?

Ho studiato l'intestazione di Pragma, poiché ci sono già altre due intestazioni di risposta HTTP che nascondono la cache (Cache-Control & Expires), ed ero interessato a quali browser usassero (d) il vecchio HTTP 1.0. Si scopre che la spe...
posta 19.04.2015 - 23:36
2
risposte

httpoxy: TLS / SSL attenua la vulnerabilità dell'intestazione del proxy HTTP?

Esiste una nuova vulnerabilità con marchio di fantasia chiamata HTTPOXY . La mia domanda qui: anche i siti serviti tramite TLS sono interessati? Oppure si tratta di un problema solo per i siti HTTP (canale di comunicazione non criptato)?...
posta 19.07.2016 - 09:53
4
risposte

Un cookie sicuro senza il flag HttpOnly è un problema?

Comprendo che i cookie con il flag di sicurezza devono essere trasmessi tramite una connessione HTTPS. Significa anche che questi cookie devono essere protetti dagli avversari (cookie privati). Pertanto, è importante impostare il flag HttpOnly s...
posta 11.04.2017 - 06:29
1
risposta

Accesso al token JWT e disconnessione

Ciao Sto creando un'applicazione mobile nativa che utilizza endpoint REST API per comunicare con il lato server. Ho avuto esperienze precedenti nello sviluppo di client nativi, ma ho un token semplice (stringa generata casualmente) memorizzato n...
posta 02.10.2015 - 21:16
1
risposta

Perché non puoi rubare il token del sincronizzatore per fare CSRF? [duplicare]

Sto leggendo su CSRF e ho trovato i token di sincronizzazione. Non capisco perché non puoi fare un CSRF per ottenere il token per fare un vero CSRF. Esempio: bank.com ha una forma come questa in https://bank.com/transfer : <fo...
posta 26.07.2015 - 20:10
2
risposte

Perché stiamo ancora utilizzando HTTP? [duplicare]

Ho letto molti articoli e blog online sui vantaggi dell'utilizzo di HTTPS (HTTP su SSL / TLS ) e i problemi di prestazioni coinvolti nella distribuzione di un sito Web su HTTPS. Quello che ho capito è che il sovraccarico delle prestazioni ne...
posta 14.11.2013 - 18:27