Domande con tag 'http'

domande con tag
1
risposta

Sta inviando recaptchaPublicKey e RecaptchaToken nella richiesta di posta una potenziale minaccia alla sicurezza?

Ho implementato reCaptcha in forma di login per rallentare il potenziale attacco di forza bruta. Tuttavia, l'applicazione invia recaptchaPublicKey & RecaptchaToken nella richiesta di post con le credenziali di accesso. Porta a una minaccia a...
posta 22.12.2017 - 13:01
1
risposta

Email di phishing con parametri di url codificati

Ho ricevuto un'email di phishing con il seguente formato: hxxp://<%legitimateSite%>/~!@%23$%25%5e&()_+~!@%23$%25%5e&()+~!@%23$%25%5e&*()+~!@%23$%25%5e&()_+~!@%23$%25%5e&()+~!@%23$%25%5e&*()+~!@%23$%25%5e&()...
posta 12.01.2018 - 02:45
1
risposta

Esiste un modo statico per scoprire tutte le richieste Http fatte da un'applicazione Android?

Immagina il seguente scenario: Voglio verificare quanto è sicura un'applicazione Android Ho accesso al suo codice sorgente Ho il sospetto che alcune informazioni sensibili vengano trasmesse via Http anziché Https in alcune funzioni Pot...
posta 10.01.2018 - 12:19
2
risposte

Esiste un modo per autenticare un client HTTP solo una volta?

Sto lavorando a un'applicazione che funge da back end (API REST) per un'estensione di Google Chrome. I dati dovrebbero essere inviati da e verso il cliente. Il modo in cui funziona è: I dati provenienti dal client vengono crittografati da...
posta 19.01.2018 - 17:14
2
risposte

C'è qualcosa di sbagliato nell'usare lo stesso nome utente per tutti gli utenti api con l'autenticazione di base HTTP?

Sto creando un'API Web che accoda i messaggi e instrada i webhook su singoli siti. Il servizio di posta elettronica transazionale MailGun fornisce una chiave API per tutti gli utenti, che viene utilizzata come password di autenticazione di base...
posta 29.03.2017 - 21:48
1
risposta

stringa di query URL che indovina [chiusa]

Recentemente ho identificato un controller che gestisce parametri di stringhe di query che non sono ovvi, semplicemente indovinando i parametri della stringa di query. Per es. http://domain.com/controller.php?guessed_param=18 Esiste uno str...
posta 11.07.2017 - 10:16
1
risposta

Algoritmo per rilevamento di attacchi flood flood HTTP

Voglio applicare un algoritmo sul mio script Python per il rilevamento degli attacchi flood in HTTP. L'idea principale è quella di analizzare i log di Apache in MongoDB, ma voglio estrarre solo quelle linee che indicano un attacco flood in HTTP....
posta 20.08.2016 - 12:41
1
risposta

Perché la specifica OAuth2 consiglia di non trasmettere le credenziali del client nel corpo della richiesta?

La specifica OAuth 2.0 afferma che durante l'autenticazione con una password del client, puoi passare client_id e client_secret usando uno dei due: l'intestazione Authorization , utilizzando lo schema di autenticazione di HTTP...
posta 21.09.2016 - 09:37
1
risposta

Ci sono forti motivi tecnici per i browser che richiedono TLS per http2?

Mi rendo conto che ci sono domande simili su questo argomento, tuttavia, penso che questo sia sufficientemente diverso / focalizzato per non essere un duplicato. Spero che non sembri un pezzo di soapbox. HTTP / 2 impone efficacemente TLS, poi...
posta 13.03.2016 - 20:09
1
risposta

Impostazione dell'intestazione HTTP X-Frame-Options DENY per le risorse statiche

Controllo la sicurezza della mia applicazione Django tramite uno scanner di sicurezza e mi chiedo se sia utile impostare l'intestazione X-Frame-Options DENY sulle risorse statiche come CSS, immagini o file JS? Suppongo che si possa ott...
posta 09.03.2016 - 18:07