Domande con tag 'web-application'

1
risposta

owasp top 10 2017 automazione

Sto lavorando all'automazione della sicurezza - controllo dell'applicazione Web per le 10 vulnerabilità di OWASP. Vorrei controllare il rispettivo description , CWE-IDs etc e prendere decisioni automaticamente. Posso immaginare una rapp...
posta 19.06.2018 - 13:51
3
risposte

Quando un utente tenta di registrarsi di nuovo con una e-mail disattivata, devo dire all'utente che le e-mail non sono state attivate?

Supponiamo che il mio sito abbia bisogno di registrarsi per un account membro con e-mail e che l'e-mail debba essere verificata e attivata. Vieto agli utenti di registrarsi con la stessa email due volte. Quando lo fa, dovrei ricordare all'utente...
posta 19.06.2018 - 05:39
2
risposte

Perché dovrei mai non volere la protezione CSRF?

Mentre posso vedere alcuni dei sovraccarichi della protezione CSRF (generazione di token, convalida di token, lavoro extra da implementare), non vedo alcun motivo per cui vorresti mai non voglio . C'è mai un caso in cui la protezione CSRF è...
posta 29.07.2016 - 15:27
1
risposta

Memorizza password su Server Config

Ho un'applicazione web. La mia app web ha bisogno di accedere ad alcune altre applicazioni come MySQL. Affinché la mia app web possa accedere a MySQL, devo fornire un nome utente / password. Quali sono le migliori pratiche per archiviare ques...
posta 27.11.2016 - 00:05
1
risposta

Ogni sito web o applicazione web deve avere una politica di divulgazione responsabile e quali sono gli svantaggi di avere una tale politica?

Il Centro nazionale per la sicurezza informatica olandese, NCSC * (figlia del Ministero della sicurezza e della giustizia ) ha pubblicato un articolo di notizie * riguardante una linea guida per l'informativa responsabile all'inizio del...
posta 23.06.2016 - 10:34
1
risposta

Quali considerazioni sulla sicurezza dovrei tenere a mente quando si imposta la domotica tramite IFTTT?

Il mio prossimo progetto personale sarà la creazione di una domotica di base per i miei genitori (non molto esperti di tecnologia ma potenzialmente in grado di apprendere). Ciò comporta alcuni termostati, illuminazione e controllo delle notifich...
posta 05.07.2016 - 11:52
2
risposte

Devo esporre il codice di stato HTTP 500 su un'applicazione REST?

Nella mia applicazione Spring MVC 3, sto seguendo i pattern REST e molta logica si basa sui codici di stato HTTP. Ad esempio 500 definisce un errore del server. Tuttavia, Modsecurity OWASP dice di non esporre questo codice di stato. Non cap...
posta 04.10.2016 - 07:07
1
risposta

Acquisizione (solo 1x) Richiesta POST HTTP [tcpdump]

Ogni tanto; Mi piace aumentare tcpdump e osservare il traffico di rete mentre i pacchetti scorrono. Ad esempio: user@host:~$ sudo tcpdump -Aevvv Analizzerà & stampa tutto il traffico di rete locale sullo standard output, in t...
posta 20.09.2015 - 06:50
1
risposta

Problemi di navigazione del pulsante Indietro a causa del token CSRF?

Ho un'applicazione web legacy e ho bisogno di proteggerla da CSRF. Ho provato a risolvere il problema senza compromettere la funzionalità dell'applicazione, ma ho riscontrato problemi relativi alla navigazione. È possibile generare token e ar...
posta 26.03.2016 - 18:13
1
risposta

Firma messaggi del forum web

Gestisco il software del forum web, accessibile tramite NNTP e e-mail (come mailing list). Poiché NNTP di design consente a chiunque di falsificare il proprio indirizzo e-mail, è possibile utilizzare la firma dei messaggi per verificare l'identi...
posta 24.03.2016 - 04:42