Domande con tag 'web-application'

1
risposta

Migliore alternativa alla whitelist del percorso WAF?

Stiamo gestendo un WAF che viene utilizzato da alcune applicazioni. Recentemente ho provato a utilizzare un modulo URL valido per autorizzare tutte le API e le risorse statiche di un'applicazione. Anche se dal punto di vista della sicurezza è po...
posta 20.03.2016 - 14:06
1
risposta

È sicuro utilizzare HttpSessionState.Session per memorizzare le informazioni di identificazione

Sto scrivendo un'app Web ASP.NET e mi sto chiedendo se c'è qualcosa di insicuro da archiviare in HttpSessionState.Session? Più in particolare, è una cattiva pratica archiviare tali informazioni come ID utente o autorizzazioni di sicurezza nel...
posta 06.07.2015 - 15:51
1
risposta

Quali metodi possono essere utilizzati per impedire al browser (in particolare a IE11) di memorizzare credenziali / completamento automatico

Passando attraverso Pen Test e ci è stato chiesto di disabilitare il completamento automatico nei nostri campi di pagamento CC. Abbiamo provato ad aggiungere autocomplete=off e abbiamo anche provato false sull'input archiviato. UN s...
posta 04.03.2015 - 00:09
1
risposta

Abilitazione di ActiveX non firmato

Una terza parte desidera fornire un'app Web che dicono funziona solo se abilitiamo ActiveX non firmato (purtroppo gli utenti sono tenuti a utilizzare IE). Capisco cosa significa 'firmare', così come gli impatti di base potrebbero essere se esegu...
posta 01.10.2014 - 14:17
1
risposta

Come inviare l'URI decodificato?

Sto lavorando in Burp e ho ricevuto una risposta interessante quando invio una stringa decodificata come richiesta GET. Copia / incolla la stessa stringa in un browser, la stringa viene automaticamente codificata dal browser quando viene effettu...
posta 16.04.2018 - 22:44
2
risposte

Salvataggio sicuro delle credenziali per un'autenticazione in testo semplice successiva

Sto sviluppando un'applicazione Django in cui un utente accede con Kerberos e quindi ha accesso a un numero di applicazioni interne. Una di queste è un'applicazione di file che si collega a un server su SFTP e consente all'utente di navigare...
posta 09.08.2015 - 04:07
1
risposta

Ottenere un avviso di certificato per una e-mail ma non un'altra

Quando accedo a outlook.com utilizzando il browser Chrome, ricevo un avviso di certificato per un account ma non per un altro. Uno dice che la mia connessione è privata, l'altra dice che "potrebbe non essere privato". Ecco i messaggi: Buon...
posta 24.08.2015 - 01:43
1
risposta

L'SSL bidirezionale è sufficiente per più server Web che comunicano tra loro?

Ho un numero fisso di server web. Ogni server Web rappresenta un'azienda e gli utenti dell'azienda parlano al server Web assegnato. Ho questa configurazione per decentrare i database. Quindi, se un server Web viene violato, l'hacker acquisisce s...
posta 23.05.2015 - 19:59
3
risposte

Tracciamento dell'indirizzo IP per prevenire abusi senza registrare i metadati dell'utente

Sto cercando di bilanciare le buone pratiche di sicurezza contro la registrazione eccessiva dei metadati dell'utente / Informazioni di identificazione personale. Sto costruendo un'app Web che consente la messaggistica sicura. In parte nella p...
posta 18.07.2014 - 21:07
1
risposta

Hydra fornisce password errate

Ho cercato di usare l'hydra (modo educativo) ma senza successo. Il metodo del sito è http-post ma eseguito da ajax (dovrebbe essere un problema? Penso di no). Dopo aver eseguito il comando ho ottenuto un output di password e username presumibilm...
posta 18.02.2014 - 21:06