Domande con tag 'web-application'

1
risposta

La JWT è presente nei cookie con qualsiasi soluzione CSRF altrettanto vulnerabile all'XSS di JWT in localStorage?

Ho letto che i token JWT non devono essere memorizzati in localStroage perché gli attacchi XSS possono leggerli. La soluzione proposta è di memorizzare i token JWT nei cookie HTTPOnly e utilizzare i cookie anti-CSRF con doppio invio. OWASP dice...
posta 11.04.2016 - 20:23
1
risposta

Un file .dmg crittografato è decrittografato sul server Dropbox? [chiuso]

Mi piacerebbe utilizzare strumenti integrati per creare un'unità crittografata in OS X che posso sincronizzare con Dropbox. A tal fine, ho creato un volume crittografato "sparse bundle" (.dmg) che rimane in ~ / Dropbox. La mia comprensione è...
posta 22.03.2016 - 17:06
3
risposte

Quali sono i rischi per la sicurezza dell'importazione e dell'elaborazione di un foglio di calcolo Excel da un utente non affidabile

Sto lavorando su un'applicazione web e abbiamo una funzione amministrativa che consente agli amministratori di importare un foglio di calcolo Excel contenente informazioni sui sub utenti che vorrebbero aggiungere. Analizziamo il foglio di calcol...
posta 31.03.2016 - 18:30
2
risposte

Usa la password per calcolare il checksum per le richieste API

Mi chiedevo se sarebbe stato un modo efficace per proteggere un'API richiedendo il check-up di tutte le richieste, salate con la password degli utenti (o una versione hash)? Con la protezione intendo dire "impossibile" per una terza parte fare r...
posta 10.01.2016 - 19:49
2
risposte

come eseguire la scansione di un'applicazione Web che utilizza Captcha

Ho un'applicazione web su cui sto facendo una valutazione di sicurezza e usa captcha sia per il login che per certe operazioni all'interno dell'app. La cosa interessante è che questa particolare app mostra il testo del captcha proprio sotto di e...
posta 09.07.2014 - 16:46
2
risposte

Learning XSS: Perché il mio javascript è ignorato?

<a href='mailto:</a><script>/*'></a><script>/*</a>: <br> <hr> <a href='mailto:*/location.href=/*'>*/location.href=/*</a>: <br> <hr> <a href='mailto:*/"http://127.0.0....
posta 30.06.2014 - 02:06
1
risposta

Quanta parte di un'applicazione Django potrebbe essere decodificata se il proprietario dimentica di disattivare la modalità di debug?

Ho scritto un'app di Django e l'ho quasi pubblicata con la modalità di debug. La documentazione di Django indica Never deploy a site into production with DEBUG turned on. Did you catch that? NEVER deploy a site into production with D...
posta 11.11.2015 - 01:00
2
risposte

Come proteggere il sito web mobile dall'incapsulamento in un'app mobile nativa canaglia?

Stiamo sviluppando un'applicazione mobile (m.website.com). C'è un modo per impedire a uno sviluppatore disonesto di creare un'app nativa IOS / Android che incapsuli semplicemente il nostro sito Web nell'app utilizzando Webkit per eseguire att...
posta 08.12.2015 - 16:08
1
risposta

Proteggere i dati sensibili in un DB, sta usando H2 ne vale la pena?

Sto progettando un'applicazione web al momento, e uno dei requisiti è quello di proteggere le credenziali dell'utente e i loro ruoli. Ovviamente, oltre al solito hashing delle password + salt + .... stavo pensando di inserire quelle tabelle s...
posta 12.09.2011 - 11:52
1
risposta

Quanto è pericoloso divulgare la conoscenza sull'esistenza di oggetti a cui l'utente non è autorizzato ad accedere?

Sono a conoscenza del fatto che una buona progettazione della sicurezza non rivela informazioni sui dati a cui l'utente non è autorizzato ad accedere. Ciò include informazioni sull'esistenza di tali dati, ossia se a un utente non è consentito ac...
posta 27.06.2016 - 10:30