Domande con tag 'session-management'

domande con tag
1
risposta

La migliore strategia per condividere alcuni dati utente sensibili tra Nodo e PHP

Sto creando un sito web costruito su PHP. Ha una piccola pagina in cui gli utenti possono avere una chat di gruppo e scambiarsi messaggi. Per quella pagina apro una websocket con l'aiuto di socket.io e expressjs . Voglio usare i nomi ut...
posta 19.08.2018 - 16:15
2
risposte

I contenuti delle sessioni PHP sono di valore forensi?

PHP ha alcuni builtin carini e accurati per gestire le sessioni: ci sono le funzioni session_start() e session_id() e session_destroy() , che funzionano con una variabile superglobale, $_SESSION , per memorizzare coppie nome /...
posta 04.08.2018 - 07:02
1
risposta

Funziona con token e sessioni utente [chiuso]

Sto cercando di sviluppare un'app social media e un sito web. Il problema è che sto cercando di trovare un modo sicuro per lavorare con gli accessi e le sessioni poiché altri metodi non sembrano buoni o hanno modi migliori. Per il sito web, u...
posta 28.04.2018 - 23:39
1
risposta

È un'implementazione insicura di sessioni multi-sito?

Ho un Magento multi-sito (una piattaforma eCommerce PHP). Gli account sono condivisi tra i siti, ma le sessioni non lo sono, quindi è necessario accedere a ciascun sito individualmente. Sono interessato a condividere queste sessioni. Ho trova...
posta 30.11.2017 - 21:03
1
risposta

Come ottenere informazioni sulla sessione dal viewstate .NET crittografato?

Sto eseguendo un test di penetrazione per la prima volta in un'applicazione .NET che invece di fornire cookie per la gestione delle sessioni utilizza il campo nascosto viewstate. Sto utilizzando il plugin .NET Beautifier in BURP per decodific...
posta 01.03.2018 - 12:30
1
risposta

Sicurezza di un sessionID memorizzato in un div nell'origine della pagina

Ho appena trovato un'applicazione web che sembra memorizza il mio sessionID attuale sotto forma di un elemento div , che non è visualizzato sulla pagina web. Questo è un metodo strano, ma sinceramente non vedo un rischio reale per...
posta 16.10.2017 - 09:44
2
risposte

Apertura del browser con utente già autenticato in un'altra app

Scenario: ho effettuato l'accesso ad alcune applicazioni (java - swing). L'autenticazione è tipica: l'accesso e la password controllati dal server (J2EE) all'avvio dell'applicazione client, dopo il normale lavoro nell'app includendo molte richie...
posta 05.11.2017 - 01:44
2
risposte

Autenticazione chiave (token di sessione) vs autenticazione di accesso / passata predefinita

Sto costruendo applicazioni web e ho un'idea per creare un sistema di autenticazione personalizzato, che sarebbe rapido e sicuro. Non voglio usare quasi la combinazione "predefinita" di accesso (email) / password. Quando si registrano, vogli...
posta 24.06.2017 - 13:46
3
risposte

Utilizzo di campi modulo nascosti per modificare i prezzi su un sito Web

Mi sono imbattuto in questa domanda su cybery sull'attacco da utilizzato per modificare i prezzi su un sito web. Prima di tutto, presumo che per prezzo intendano i prezzi di un prodotto come su un sito E-Commerce (correggimi se sbaglio). La ri...
posta 11.06.2017 - 13:28
1
risposta

Come spiegheresti il token CSRF a un principiante? In che modo è più sicuro dell'approccio basato sui cookie?

Ho una comprensione piuttosto basilare di entrambi gli approcci, ma cerco solo una spiegazione migliore, immagino. Ho visto alcuni esempi di attacchi CSRF, utilizzando token CSRF, come framework come Ruby on Rails, Symfony2 ecc. hanno incorpo...
posta 24.03.2017 - 04:15