Nella mia azienda stavamo scrivendo una piccola applicazione web che sarebbe stata ospitata e testata con il protocollo HSTS.
Uno dei miei tester si è lamentato che il nome utente e la password possono essere visualizzati in chiaro, quindi no...
Recentemente abbiamo ricevuto un rapporto sulle vulnerabilità che afferma che uno dei nostri moduli HTML in una delle applicazioni interne non è protetto da CSRF. Inizialmente, non è stato possibile riprodurlo immediatamente manualmente utilizza...
La tendenza recente negli attacchi HTTPS è di attaccare il protocollo HTTP. Cosa devo fare per aumentare la sicurezza del mio sito se l'unico protocollo che desidero è HTTPS?
Alcune idee facili da implementare sono
Implementa Sicurezza d...
Il link fa notare che la maggior parte dei meccanismi di protezione CSRF non riesce a proteggere i moduli di accesso. Poiché link spiega:
The vulnerability plays out like this:
The attacker creates a host account on the trusted do...
Quali sono i rischi per la sicurezza con JSONP ? L'utilizzo di JSONP in una nuova applicazione Web è ragionevole, dal punto di vista della sicurezza, oppure è meglio utilizzare un metodo diverso per i mashup Web di origine incrociata?
Se l'u...
Come proteggi un'installazione di WordPress predefinita?
Che checklist usi, buone pratiche, consigli e suggerimenti, ecc.?
Qualsiasi suggerimento sui plugin, strumenti di terze parti sono i benvenuti.
Ho catturato alcuni attacchi web. Sto cercando di capire quale scopo ottengono ciascuna richiesta di attacco.
GET /site/public/timing?<!+XSS="><img+src=xx:x+onerror=alert(14721850.00337)//"> HTTP/1.1" 200 6718
GET /site/public/tim...
I miei colleghi sostengono che XSS sia una vulnerabilità sul lato server. Ho sempre pensato che questa fosse una vulnerabilità del lato client. Quale di noi ha ragione e perché?
So che esistono diversi tipi di meccanismi di autenticazione disponibili. Uno tra questi è l'autenticazione HTTP. Qual è il pericolo nell'uso di questo metodo rispetto ad altri metodi?
Il bot di scansione di Google utilizza l'agente utente "Googlebot" e mi chiedo se questa conoscenza possa essere utilizzata maliziosamente.
Diciamo che in un sito web casuale, l'agente utente di Googlebot è autorizzato ad accedere a un pannel...