Domande con tag 'web-application'

1
risposta

In che misura dovremmo difenderci contro le credenziali trapelate che vengono testate contro il nostro sistema?

Vediamo questo tipo di tentativi con una certa frequenza. Normalmente una perdita è accaduta da qualche altra parte terza, e un utente malintenzionato ha una grande lista di combinazioni di account e password conosciute che possono provare contr...
posta 12.09.2017 - 19:53
3
risposte

È pericoloso reindirizzare all'URL di riferimento?

È un problema quando gli URL in un'applicazione web reindirizzano all'URL specificato nell'intestazione Referer ? Non è un reindirizzamento aperto come nessuno degli /whatever?url=evil.com esempi che ho visto, che possono essere sfr...
posta 10.08.2017 - 03:18
2
risposte

Le migliori pratiche per proteggere le password di DB per più app web?

Sto lavorando all'aggiornamento di un'infrastruttura "legacy" in cui sono in uso una manciata di applicazioni PHP, Rails e Perl (CGI). Storicamente, queste applicazioni sono state scritte con le credenziali del database sparse in tutto il codice...
posta 07.09.2017 - 19:38
2
risposte

Puoi inviare un CVE per una piattaforma chiusa non menzionata?

Ho notato che esiste un elenco di piattaforme / fornitori per cui è possibile richiedere un CVE. Cosa succede se trovo un CVE per una piattaforma proprietaria (che è disponibile in commercio), c'è un modo per ottenere un CVE assegnato per que...
posta 28.03.2017 - 22:15
2
risposte

Come proteggere un'applicazione da utenti malintenzionati con accesso completo in lettura al db?

Lavoro su un'applicazione web con il lato client come applicazione Javascript a pagina singola e il lato server come servizio REST. Questa applicazione gestisce i dati sensibili degli utenti che non devono essere letti anche da un utente malint...
posta 07.02.2017 - 15:19
1
risposta

Visualizzazione dell'elenco degli utenti registrati su un sito Web

Ho appena iniziato a lavorare per una piccola azienda che ha un sito web Wordpress con account utente. Ogni account utente ha un nome di accesso, il nome visualizzato, il nome effettivo, l'email, la password e il resto. Ho scavato e trovato u...
posta 02.03.2017 - 18:22
2
risposte

Un sito Web può sapere se sto eseguendo lo streaming o il download di contenuti?

Sto seguendo un corso online a pagamento in cui i video vengono trasmessi tramite Flash. Dopo molti problemi come le fluttuazioni della qualità, i cambiamenti imprevisti nella velocità di riproduzione e gli schermi bloccati (anche altri utenti),...
posta 02.02.2017 - 17:30
2
risposte

Come si sincronizza il client web Whatsapp con l'applicazione mobile mantenendo tutto l'E2E?

Come è possibile mantenere una comunicazione E2E mentre si utilizza il client Web di whatsapp? Ho trovato diversi Q & A (fi Come funziona la crittografia end-to-end con il web di whatsapp? ) ma nessuno ha completamente risolto i miei dubbi....
posta 14.01.2017 - 01:19
1
risposta

Il contenuto utente non può essere restituito 403 vietato?

Se copio l'URL per un'immagine condivisa o privata da siti come fbcdn.net o googleusercontent.com e lo apro in una sessione disconnessa, vengono visualizzate le immagini. Non restituisci questo errore 403 vietato (come Dropbox) inve...
posta 27.08.2016 - 04:44
3
risposte

Le pagine di accesso senza numero di tentativi / blocchi di sicurezza rappresentano un rischio per la sicurezza?

Ho trovato una pagina di accesso per una città / edu organizzazione che non ha orari di sessione, nessun contatore / blocco tentativi, e nessun ritardo se vengono fatti troppi tentativi in un certo periodo di tempo. Sono in grado di sfruttare qu...
posta 27.04.2016 - 01:43