Domande con tag 'json'

domande con tag
3
risposte

XSS: Content-type: application / json

Informazioni di base - L'applicazione risponde alla richiesta di un determinato URL con content-type: application/json La risposta JSON contiene un parametro dalla richiesta Scambia la citazione con una barra Non esegue una valutaz...
posta 16.04.2012 - 15:59
1
risposta

Come viene implementata la JWT?

Sto utilizzando django-rest-framework-jwt in una delle mie API. Come forse saprai, il concetto è semplice: si inviano nome utente e password e si ottiene un token indietro. Il token non è memorizzato da nessuna parte sul server. Inviando il...
posta 26.03.2015 - 23:57
1
risposta

Quanto è sicuro HMAC

Sto costruendo un'API RESTful stateless e sto usando un token per l'autenticazione. Il problema che sto avendo è che non sono sicuro di quanto sia sicuro HMAC. Sto utilizzando una libreria Token Web JSON che consente me crittografare e decr...
posta 14.10.2014 - 19:45
1
risposta

Esiste un vantaggio dell'utilizzo di JWT stateless su hash SHA256 per token API?

Ha senso utilizzare JWT stateless (senza memorizzazione persistente) su SHA256 semplice? Scenario di esempio: L'utente accede Token utente generato come segue: un. JWT.encode (userId, 'secret') o b. SHA256 (userId + 'secret')...
posta 07.05.2015 - 22:19
3
risposte

ADFS 2012 R2 (3.0) Convalida del token Web JSON

Il nostro cliente vorrebbe che usassimo ADFS 2012 R2 (alias 3.0) come mezzo principale per due funzioni di sicurezza nelle app interne che stiamo costruendo: L'app web (ci sono due .NET e Angular) e un'app iOS useranno il flusso OAUTH all'in...
posta 26.01.2015 - 21:11
3
risposte

XSS che esce dall'attributo JSON.parse e href

Ho un caso piuttosto complicato in cui tento di eseguire un attacco XSS memorizzato quando carico un file jpg con nome file dannoso. Gli spazi bianchi vengono filtrati ma sembrano virgolette singole e doppie insieme a < > non sono filtr...
posta 31.05.2018 - 13:13
1
risposta

Prevenzione degli attacchi di riproduzione con JWT

Attualmente sto costruendo un'API RESTful che verrà utilizzata per un'applicazione web e mobile. L'autenticazione all'API verrà effettuata utilizzando Token Web JSON . Quando utilizzi JWT, possiamo utilizzare il reclamo exp per scadere...
posta 27.11.2017 - 17:14
1
risposta

Autenticazione stateless API REST tramite accesso social

Sto implementando un'API REST per le nostre applicazioni mobili in cui l'utente eseguirà l'accesso utilizzando gli SDK di vari social media. Attualmente, la strategia di accesso è la seguente: I token (s) (access_token in caso di Facebook, a...
posta 24.01.2015 - 14:52
1
risposta

Beneficiare di specificare il set di caratteri Content-Type JSON?

In base allo standard di verifica della sicurezza delle applicazioni OWASP : V11.3 Verify that every HTTP response contains a content type header specifying a safe character set (e.g., UTF-8). Secondo RFC per l'applicazione / json Me...
posta 03.03.2015 - 11:04
2
risposte

L'assicurazione del client è autorizzata all'uso del token Web JSON

JSON Web Tokens (JWT) sono oggetti firmati dal server che il server emittente utilizza per identificare un utente, tracciare i dati della sessione e autorizzare le richieste. Il fatto che JWT sia firmato dal server garantisce che il token è s...
posta 01.09.2015 - 23:13