Domande con tag 'web-application'

3
risposte

Se un sito web ha un ritardo di 5 secondi prima di mostrare il modulo di accesso, è probabilmente una misura di sicurezza?

La homepage di JP Morgan Chase ha un ritardo di 5 secondi prima che compaia il modulo di accesso. Se si aggiorna il ritardo è sempre lì. Se non si immette una password corretta, la pagina di accesso non riuscita non ha un tale ritardo quando la...
posta 25.09.2016 - 07:33
3
risposte

Cross scripting sito senza caratteri speciali

Sto testando un'applicazione web e ho trovato una vulnerabilità XSS. Posso rompere un tag e iniettare del codice nell'applicazione, ma nulla di molto pericoloso per il client. L'applicazione ha un filtro che rileva caratteri speciali e alcune...
posta 29.05.2013 - 15:53
11
risposte

È sicuro visualizzare errori di query MySQL nella pagina Web se qualcosa è andato storto?

È sicuro visualizzare la query dettagliata nella pagina web di errore con i dettagli seguenti? **INSERT statement conflicted with the FOREIGN KEY constraint "ABC". The conflict occurred in database ** The statement has been terminated.[INSE...
posta 30.09.2016 - 07:37
6
risposte

C'è un modo per scaricare un file PHP senza che venga eseguito?

Recentemente ho ricevuto una mail di phishing di qualità insolitamente cattiva; "Per favore accedi subito al seguente link, dato che siamo la tua banca, lo sai" -ish. Il link punta a un URL non convincente con .php alla fine. Mi chiedevo...
posta 03.09.2015 - 10:51
8
risposte

Quali caratteri non dovrei consentire nelle password?

Sto pianificando di sviluppare un sito web che richieda agli utenti di registrare un nome utente e una password. Quando permetto all'utente di scegliere una password, quali caratteri devo consentire agli utenti di avere la password? c'è qualcosa...
posta 10.02.2011 - 18:08
3
risposte

Quanto sono sicuri sha256 + hash salati per l'archiviazione delle password [duplicato]

Ho iniziato a leggere di hashing delle password di recente su più siti come questa pagina su crackstation e altri, e per cosa Ho capito, dovrei evitare di usare algoritmi di hashing come md5 e sha1 perché sono obsoleti e invece, dovrei usare...
posta 25.05.2015 - 20:23
5
risposte

Dal punto di vista della sicurezza, agli utenti dovrebbe essere chiesto di confermare la propria password al momento della registrazione?

È consigliabile che gli utenti reinseriscano la propria password per confermare che è corretta? Su User Esperienza il consenso generale sembra essere no ma mi chiedo se questo ha implicazioni di sicurezza? EDIT: i miei due centesimi non ind...
posta 29.01.2013 - 19:40
1
risposta

Il file ".htaccess" può essere scaricato. Perché? Come risolvere?

Forse una domanda noob. Ho provato a cercare ma forse i miei termini di ricerca erano troppo specifici. Ho appena condotto un pen test sul sito di un cliente. Il sito mi ha permesso di scaricare .htaccess semplicemente sfogliando semplicement...
posta 16.09.2015 - 11:37
4
risposte

Dovrei essere preoccupato quando lo strumento "Password dimenticata?" invia la mia password in chiaro?

Alcuni siti di cui sono stato membro in passato non passano attraverso il normale "Password dimenticata?" processi. Invece di inviarmi tramite e-mail un link di reset della password unico o qualcosa del genere, ho ricevuto la password nella mia...
posta 29.10.2012 - 22:59
5
risposte

Puoi proteggere un'app Web da FireSheep senza utilizzare SSL?

Supponiamo che tu voglia dare ad alcuni utenti web un accesso privilegiato al tuo sito web, ma che non sei in grado (o non voglia) di offrire SSL a tutti loro - almeno dopo la pagina di accesso iniziale. In questo caso, c'è un modo per gestir...
posta 23.12.2010 - 02:40