Domande con tag 'rest'

1
risposta

Ho bisogno di una crittografia aggiuntiva su HTTPS per un'API REST?

Configuriamo l'ambiente prima di venire alla mia domanda. Abbiamo un'applicazione web che sarà accessibile dai browser / client su HTTPS. Monstly accessibile solo nella intranet (raramente su Internet) Frontend utilizzando Angolare Bac...
posta 24.01.2018 - 14:43
1
risposta

Protezione delle richieste di riposo delle app mobili

Sto utilizzando il login di Facebook in un'app mobile nativa e sto cercando di capire se il mio approccio è abbastanza sicuro. Questo è il flusso (tutte le comunicazioni avvengono tramite SSL): L'utente accede a Facebook tramite l'app mo...
posta 28.03.2014 - 16:51
1
risposta

Quale protezione aggiuntiva viene aggiunta a un'API REST su HTTPS mediante l'uso di un tipo di HMAC?

Sto progettando un'API RESTFUL che sarà sempre utilizzata su HTTPS, quali vantaggi di sicurezza rispetto all'uso di HTTP Basic Auth potrebbero essere portati al mio sistema usando questo tipo di codici di autenticazione dei messaggi? Esempio...
posta 05.09.2013 - 03:30
2
risposte

Come posso proteggere la mia api per evitare di copiare?

Sto costruendo un'app che dovrebbe ricevere dati dal mio server. L'API dovrebbe essere uno script basato su PHP che fornisce i dati come JSON. Tuttavia, voglio mantenere i dati privati e dovrebbe essere accessibile solo dall'app stessa. Come p...
posta 24.08.2014 - 16:46
1
risposta

Un'alternativa stateless semplicistica all'autenticazione di base HTTP per le API

Molte API (servizi) oggi utilizzano OAuth, l'autenticazione di base HTTP o le chiavi API per autenticare i loro utenti. Il mio obiettivo è trovare un modo semplicistico sicuro per autenticare gli utenti in un'applicazione client-side in...
posta 20.06.2018 - 14:17
3
risposte

Vulnerabilità di injection URL

Sono occupato con un pentest e ho trovato qualcosa che mi ha fatto chiedere se sarebbe stato sfruttabile. Al momento non sono in grado di sfruttarlo, ma volevo esserne sicuro. Inoltre sono curioso del perché l'applicazione / server si comporta c...
posta 13.03.2017 - 16:32
2
risposte

whitelist API REST CORS

Ho un'API REST. Voglio utilizzare questa API da più applicazioni web. Voglio consentire solo le richieste dei client autorizzati. Il mio primo punto sarebbe quello di aggiungere tutte le intestazioni necessarie al server Web API REST (domini con...
posta 13.09.2016 - 23:38
3
risposte

Protezione della chiamata di servizio REST interna tramite JavaScript

Ho una singola pagina pubblica (SPA) che chiama il mio servizio REST back-end tramite JavaScript. Come posso proteggere il servizio REST in modo che accetti solo le chiamate dalla mia SPA e da nessun altro cliente o utente? Fondamentalmente, la...
posta 22.03.2014 - 07:37
1
risposta

Autenticazione di base estesa

Vorrei implementare un'API REST con l'autenticazione di base che si basa su nome utente e password. Poiché REST è senza stato, l'utente dovrebbe immettere nuovamente nome utente e password per ogni richiesta senza memorizzarli in un cookie. Poic...
posta 03.08.2013 - 20:15
2
risposte

Enumerazione sensibile dei dati tramite i codici di errore HTTP

Supponiamo che ci sia un sito Web con un'API che supporta la seguente chiamata REST in cui l'utente autenticato Alice può inviare un utente registrato a Bob un messaggio sul suo cellulare che ha registrato sul nostro sito (ipoteticamente, per il...
posta 11.09.2018 - 12:57