Domande con tag 'web-application'

1
risposta

La stessa politica di origine per il web è utile solo a causa dei cookie?

Esiste una stessa politica di origine nel browser per garantire che ad es. cattivo sito non leggerà i tuoi dati da Facebook. Ma sembra che l'unico problema che cerca di risolvere è che i cookie vengono automaticamente inviati con la richiesta ch...
posta 02.02.2016 - 15:36
2
risposte

Si tratta di un metodo anti-CSRF appropriato?

Ho installato il seguente sistema sulla mia app Web e vorrei sapere se è sicuro. Cookie contiene token CSRF. L'applicazione rileva il token CSRF nel cookie. L'applicazione posiziona il token in un'intestazione. Il token nell'intestazio...
posta 09.07.2015 - 17:41
1
risposta

Firma pdf basata su server usando etoken da un browser client

Ho un requisito in cui un documento PDF viene generato sul server delle applicazioni in un'applicazione Web .Net e lo stesso è firmato e inviato digitalmente al destinatario. L'azione di firma e posta avverrà sull'azione dell'utente nell'applica...
posta 14.07.2015 - 14:31
1
risposta

SSL tra siti Web sullo stesso server

Ho una distribuzione che include un sito pubblico asp.net e una webAPI interna entrambi installati sulla stessa macchina. Il webAPI comunicherà solo con il sito web. Ad esempio, non sarà esposto a Internet, ma è interno e non sarà access...
posta 28.11.2015 - 12:44
1
risposta

La modalità "Windows" è intrinsecamente più sicura dell'autenticazione basata su form per le app Web .NET?

Abbiamo una recensione web in fase di revisione e vedo la solita sezione in Web.Config : <authentication mode="Windows"> <forms loginUrl="~/Account/Login" timeout="10800" defaultUrl="~/"/> </authentication> La discus...
posta 04.07.2016 - 06:04
2
risposte

Prevenire l'XSS / HTML Injection è davvero così semplice?

Un collega mi suggerì solo per evitare che i caratteri delle lettere si presentassero immediatamente dopo una parentesi angolare di apertura come modo per proteggersi dall'iniezione XSS e HTML. Ovviamente, questo non impedisce problemi come:...
posta 07.11.2014 - 11:16
2
risposte

test di sicurezza Web: problema di vulnerabilità

Sto testando un sito Web per scoprire le vulnerabilità. Il sito web è completamente funzionante solo su HTTPS. Durante i test, sono venuto a sapere che i file pdf possono essere scaricati solo dagli utenti autorizzati. Questa funzionalità è a...
posta 11.05.2015 - 14:10
3
risposte

Il CSP è sufficiente per prevenire attacchi XSS [duplicato]

Supponendo che gli utenti stiano utilizzando browser moderni, sta implementando una policy CSP severa quanto basta per prevenire tutti gli attacchi XSS? Sto lavorando a un'app Backbone e mi chiedo se devo ancora visualizzare i dati degli ut...
posta 22.04.2015 - 12:16
2
risposte

JKS - Protezione del keystore e file di configurazione

Sembra che Java Keystore sia usato spesso dal web server usando un file di configurazione, con la password che apre il JKS scritto in esso e anche la password che protegge la voce specifica. Come potrebbe essere considerato sicuro? Con questo...
posta 26.03.2015 - 10:52
1
risposta

Quali sono alcuni utili tag e payload per l'iniezione HTML su siti protetti da CSP?

Sto testando con penna un sito Web che ha risolto gran parte delle sue vulnerabilità XSS semplicemente aggiungendo una politica di sicurezza dei contenuti. Ci sono ancora iniezioni di HTML in diversi punti. Ho cercato di ottenere un file contene...
posta 13.04.2015 - 10:55