Domande con tag 'json'

domande con tag
1
risposta

Come fa un token CSRF a prevenire un attacco e come posso usarlo / evitarlo in modo sicuro per la mia API JSON?

Sto provando a far comunicare un'applicazione iOS con un sito web di Ruby on Rails utilizzando JSON. Durante il tentativo di pubblicare un login per creare una sessione utente, ho scoperto che mi mancava un token CSRF. Non avevo idea di cosa fos...
posta 22.12.2012 - 22:43
4
risposte

Perché dovrei mai usare AES-256-CBC se AES-256-GCM è più sicuro?

Credo che il nocciolo della mia domanda sia: ci sono casi in cui CBC è migliore di GCM? Il motivo per cui lo chiedo è leggendo questo post di Matthew Green e questa domanda sullo scambio di stack di crittografia e questa spiegazione di...
posta 22.04.2018 - 16:47
2
risposte

CSRF con JSON POST

Sto giocando con un'applicazione di test che accetta richieste JSON e la risposta è anche JSON. Sto cercando di fare un CSRF per una transazione che accetta solo i dati JSON con il metodo POST in richiesta. L'applicazione genera un errore se l'U...
posta 30.12.2011 - 10:39
1
risposta

In che modo JTI impedisce la riproduzione di una JWT?

Secondo il RFC JWT, un token JWT può opzionalmente avere un jti che io interpreto come un ID univoco per un token JWT. Sembra che un UUID sia un buon valore per un jti. La RFC afferma che il jti può essere usato per impedire che il JWT venga rip...
posta 30.05.2016 - 20:34
4
risposte

Token del token del JSON Web Token (JWT) compromesso

Stiamo implementando un servizio REST che richiede autenticazione e autorizzazione. A causa della natura senza stato delle API REST, vogliamo utilizzare JWT per effettuare chiamate autenticate all'API tramite un token, senza la necessità di colp...
posta 31.07.2014 - 01:36
3
risposte

Qual è la differenza tra JWT e la crittografia di alcuni json manualmente con AES?

Qual è la differenza tra l'utilizzo di un JSON Web Token (JWT) e il semplice possesso di una chiave AES e l'invio e la ricezione di JSON crittografati dal client? Ad esempio, questo potrebbe essere inviato al client: AES256.encrypt(JSON.str...
posta 21.02.2018 - 10:09
3
risposte

Protezione di un'API REST multi-database e multi-database

Sto cercando di migliorare la sicurezza di un'API REST esistente a cui si accede tramite SSL. Il servizio web è multi-tenant, in modo tale che ogni inquilino abbia un TenantId assegnato. Il problema che sto affrontando può essere riassunto co...
posta 23.01.2015 - 15:27
3
risposte

Come posso evitare l'XSS riflesso nei miei servizi web JSON?

Ho un servizio web che accetta i dati POST (JSON) e restituisce parte dell'oggetto richiesta nella risposta JSON. Questo è aperto a XSS se la risposta è resa HTML dal browser poiché qualcuno potrebbe aggiungere codice HTML arbitrario all'ogge...
posta 20.09.2012 - 04:25
2
risposte

XSS via JSON: perché un'applicazione web non disinfetta il suo hash dei parametri in arrivo oi suoi valori JSON in uscita di tag dannosi come Script?

Recentemente lavorando a un'applicazione Web basata su Rails per un'azienda, ho dovuto esaminare la vulnerabilità XSS. Risulta che l'applicazione, in alcuni punti, potrebbe prendere un tag HTML (ad es., <script>jscodehere</script>...
posta 19.12.2015 - 10:05
3
risposte

CSRF con JSON POST quando Content-Type deve essere application / json

Sto testando un'applicazione web per cui vengono eseguite le azioni aziendali inviando richieste JSON come ad esempio: POST /dataRequest HTTP/1.1 Host: test.com User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:55.0) Gecko/20100101 Firefox/...
posta 01.10.2017 - 18:53