Domande con tag 'web-application'

3
risposte

Quanto è utile la configurazione di default di ModSecurity per un'applicazione web generica?

Scenario: ModSecurity con una configurazione "predefinita" o "generica" (come quella che potrebbe essere fornita dai provider di hosting condiviso, ad esempio). Applicazione web generica (personalizzata, non comune o sconosciuta), per la q...
posta 05.10.2018 - 21:41
4
risposte

È possibile che gli script di Crosssite conducano all'accesso al database?

Voglio sapere che tempo un sito con vulnerabilità XSS può portare l'hacker ad accedere al database? So che può ottenere il nome utente e la password dal cookie memorizzato, ma può accedere completamente al database?     
posta 21.10.2013 - 12:59
3
risposte

Devo fare attenzione quando inserisco password non corrette in siti Web non affidabili?

Ho il problema che di solito uso 4 password che uso abbastanza spesso. Io uso le prime due password complesse per servizi molto importanti (ad esempio e-mail, PayPal, ..), e gli altri due non così forti per servizi non così importanti. Il proble...
posta 06.07.2013 - 14:46
4
risposte

Analizza il mio schema di autenticazione web personalizzato, basato su un token derivato da username e password

Per evitare che l'utente possa accedere ogni volta che scade la sua sessione, voglio implementare un sistema di autenticazione basato su token. Il mio schema funziona così: Invia l'accesso utente (invia nome + password) tramite $.ajax()...
posta 05.01.2015 - 16:47
1
risposta

Ci sono rischi nel servire asset statici tramite protocollo SSL compresso proveniente da domini di terze parti?

per es. curl -v -H 'Accept-Encoding: gzip' 'https://cdnjs.cloudflare.com/ajax/libs/Colors.js/1.2.2/colors.min.js' Come puoi vedere, il risultato è gzip. La mia ipotesi è che dal momento che stanno servendo da domini di terze parti, è sic...
posta 13.08.2013 - 19:54
3
risposte

HTTPS consente l'attacco di riproduzione alla richiesta di autenticazione? [duplicare]

Se ho inviato un nome utente e la password a un sito Web oltre HTTPS , è possibile che qualcuno in rete salvi questa richiesta e la rispedisca più tardi per l'autenticazione sul sito web?     
posta 13.04.2016 - 11:00
4
risposte

Clickjacking: i browser non possono semplicemente vietare / rifiutare di posizionare elementi trasparenti sui frame?

Perché no? Sembra che questo sia usato solo per il clickjacking, la soluzione dovrebbe essere abbastanza semplice.     
posta 29.01.2012 - 20:53
3
risposte

Come bloccare i siti Web sui computer client

Nel nostro ufficio stiamo bloccando siti come Facebook, Twitter, ecc. Il problema è che alcuni utenti ignorano i nostri proxy e firewall attraverso siti proxy esterni come www.youhide.com o www.freezethefirewall.com . Problema: esist...
posta 25.09.2012 - 10:22
3
risposte

Utilizzo di un IPS come alternativa a mod_security

Sto pensando di implementare mod_security come aggiunta alla nostra infrastruttura web. Sono preoccupato per l'aumento del carico, tuttavia, poiché questi server ottengono molti colpi. Sto prendendo in considerazione l'utilizzo di IPS come Snort...
posta 16.10.2012 - 21:03
2
risposte

Come impedisci a qualcuno di modificare i valori nascosti in un modulo HTML?

Se ho un modulo HTML e ha ingressi nascosti per numeri ID e simili (quindi conosco la chiave id della tabella x da aggiornare), come posso proteggerlo in modo che la persona non possa semplicemente cambiarlo e rovinare le voci del database? H...
posta 28.03.2018 - 17:30