Domande con tag 'http'

domande con tag
1
risposta

Controllo della cache: nessuna cache sufficiente per informazioni sensibili come conti bancari, ecc.?

Ho letto da qualche parte che quando si memorizzano informazioni sensibili su un sito web si dovrebbe includere cache-control: no-store per dire al browser di non memorizzare quelle informazioni sul sistema locale. Ma penso che quando viene...
posta 04.09.2018 - 17:07
1
risposta

Perché l'intestazione di Referer non usa "same-origin" per impostazione predefinita?

La stessa politica di origine è una parte importante del modello di sicurezza, quindi per impostazione predefinita è "attivata" per la maggior parte delle cose, ma per il referente non sembra essere così. Il predefinito per i browser sembra esse...
posta 20.11.2018 - 09:59
3
risposte

Perché è necessario convalidare i dati in un servlet ottenuto chiamando HttpSession.getAttribute ()?

Sono nuovo nella programmazione WebApp e sto cercando di capire le implicazioni sulla sicurezza di non convalidare i dati ottenuti chiamando il metodo di interfaccia javax.servlet.http.HttpSession.getAttribute (). So come regola generale che si...
posta 16.11.2012 - 00:53
2
risposte

Hydra fornisce la password corretta se utilizzata dopo 3 minuti altrimenti fornisce password errate

Ho una telecamera IP D-Link DCS 5222LB. Sto provando a rinforzare la telecamera IP. La fotocamera utilizza l'autenticazione HTTP di base. Io uso il seguente comando: hydra -l admin -P passlist.txt -t 3 http://IP_address Il problema è che s...
posta 26.07.2018 - 11:02
1
risposta

Perché i download di aggiornamenti Mac vengono reindirizzati su HTTP semplice? [duplicare]

Sto scaricando una versione intermedia di MacOS necessaria per l'aggiornamento ad High Sierra da una versione precedente di El Capitan da qui . La cosa divertente è che quando faccio clic con il tasto destro del mouse e ottengo il link per...
posta 28.10.2017 - 04:15
1
risposta

Come funzionano i cookie insieme al token binding?

L'associazione token è un meccanismo in cui il client invia un token firmato al server. Poiché questo token si basa su una chiave privata, è più difficile da rubare dei cookie di sessione. Quello che non capisco è come il token binding token f...
posta 29.05.2017 - 10:18
2
risposte

Utilizzo manuale di SQL injection cieco nell'istruzione SELECT nell'intestazione X-Forwarded-For

Sto facendo fatica a sfruttare questa vulnerabilità nel seguente codice: <?php ini_set('display_errors', 0); define("INDEX", 1); include '../db.php'; if(isset($_SERVER['HTTP_X_FORWARDED_FOR']) && !empty($_SERVER['HTTP_X_FORWARDED_...
posta 26.05.2017 - 10:52
1
risposta

Sovrascrivi file nella cache del browser

Ho saputo di un incidente di sicurezza in cui qualcuno ha inserito accidentalmente informazioni sensibili all'interno di un file JSON memorizzato nella cache. Mi chiedevo, ai fini del contenimento, qual è il modo migliore per forzare i client a...
posta 12.12.2016 - 22:27
1
risposta

È sicuro inserire le stringhe user-conrolled in un'intestazione Location HTTP?

Sto pensando di aggiungere l'abbreviazione URL al mio sito. Supponiamo che il mio database abbia già memorizzato url come stringa semplice, che questi dati sono stati forniti dall'utente ed è arbitrario. Quindi un'implementazione inge...
posta 15.10.2016 - 16:48
1
risposta

Esiste uno scopo per fornire checksum in una posizione non HTTPS? [duplicare]

Quando scarichi un file, a volte il proprietario del sito web mette un MD5, SHA1, SHA256 o un hash o checksum simile del file proprio accanto ad esso; nella pagina in cui è possibile scaricarlo o in un file separato che è possibile scaricare....
posta 02.10.2016 - 21:12