Domande con tag 'web-application'

2
risposte

Perché dovrebbe essere presente crossdomain.xml se esistono file caricati dall'utente?

Nel suo libro Michal Zalewski dice: To protect your users, include a top-level crossdomain.xml file with the permitted-cross-domain-policies parameter set to master-only or by-content-type, even if you do not use Flash anywhere on your site...
posta 20.03.2012 - 12:18
2
risposte

TLS-OBC migliora solo la sicurezza dei browser Web? Migliora la sicurezza di SSH?

Sto studiando l'estensione TLS-OBC e vorrei sapere se migliora la sicurezza dei protocolli non basati sul Web? In particolare, sarebbe di alcun beneficio per i client SSH? (versione 1 o versione 2.x / secsh) Sto solo cercando di capire l...
posta 14.03.2012 - 17:18
3
risposte

OWA Keep-Alive in http, anche se dovrebbe essere forzato https

Ieri ho ricevuto un avviso dall'ID di un cliente che è stato rilevato un pacchetto di autorizzazione Base64. Osservando la decodifica ASCII, posso vedere che è per il loro OWA (Outlook Web Access), e infatti, le informazioni di auth erano Base64...
posta 08.02.2012 - 14:07
3
risposte

Se ho digitato username e password, ma ho cliccato erroneamente su un altro pulsante per andare su un'altra pagina invece del pulsante di login, c'è qualche rischio per la sicurezza?

Ad esempio, supponiamo di aver già digitato username e password su questa pagina di Facebook: link Ma ho fatto clic erroneamente su "Crea nuovo account" invece di accedere. La mia domanda è, aumenta i rischi per la sicurezza?     
posta 20.07.2018 - 09:28
3
risposte

È più sicuro chiudere la porta 80 e lasciare aperta la porta 443

Credo che questa domanda non sia duplicata di following domanda. Questo perché la risposta fornita a questa domanda si concentra solo sull'esperienza utente, mentre la mia domanda si concentra esclusivamente sulla sicurezza. Scenario: es...
posta 12.12.2017 - 11:53
1
risposta

Perché usiamo CORS?

Sono confuso sul motivo per cui i siti web utilizzano CORS. So che CORS fornisce alcuni protocolli attraverso i quali il sito Web può chiamare le risorse di altri domini, ma è possibile chiamare la risorsa senza CORS? Se lo è, allora quale vu...
posta 19.09.2017 - 09:51
1
risposta

Ottenere una casella di avviso in JS senza usare alert ()

Questa è una vulnerabilità XSS che ho trovato in un sito di pratica. Quindi, ho bisogno di creare un popup alert() , ma alert() è cambiato in prompt() da un altro script caricato prima di dare qualsiasi input. (Quindi non poss...
posta 01.06.2018 - 08:22
1
risposta

Recupero token CSRF

Come ho letto sui token CSRF, il server solitamente incorpora il token CSRF nel modulo su un tag nascosto. In questo modo, quando si invia il modulo come richiesta POST, il token CSRF può essere inviato e ricevuto sul lato server per l'autentica...
posta 07.06.2018 - 11:22
1
risposta

Sicurezza delle risorse / media su s3

Ho ottenuto la mia applicazione scritta in Flask (Python 3.6) e in esecuzione su EB. Ho bisogno di implementare un content editor che permetta di caricare file sul server e vorrei memorizzarli su s3. La maggior parte dei file caricati sarà di...
posta 04.10.2017 - 08:05
2
risposte

È sicuro impostare il valore dell'intestazione "Access Control Allow Origin" sul valore dell'intestazione "Origin" che è implicitamente impostato dal browser?

Stavo testando un sito Web e ho notato che modificando il valore dell'intestazione "Origine" di una richiesta con un'applicazione proxy di intercettazione l'applicazione Web inviava una risposta con "Controllo accesso Consenti origine" impostato...
posta 13.10.2017 - 08:50