Domande con tag 'web-application'

1
risposta

Pratiche migliori per il modulo di accesso [chiuso]

Quindi sono in procinto di creare un modulo di accesso per gli utenti e mi piacerebbe rendere le cose sicure come ragionevoli. È un sito consumer, non un sito finanziario, ma vedendo come mi piacciono le cose per essere sicuro quando accedo a un...
posta 03.02.2017 - 11:36
2
risposte

Dotdotpwn - Pattern di testo diversi

Ho forse una domanda abbastanza semplice sullo strumento dotdotpwn. In primo luogo, sembra un fantastico strumento per generare l'inizio di una stringa di attraversamento di directory, e il fatto che rilevi il sistema operativo e si adatti di...
posta 25.11.2016 - 18:29
1
risposta

Utilizzo di LDAP per l'autenticazione dell'applicazione

Alcuni dei miei colleghi vogliono sbarazzarsi della nostra attuale autenticazione per applicazioni interne e utilizzare LDAPS per gestire tutta l'autenticazione (memorizzazione di password ecc.). Non sono d'accordo e dico che dovremmo costruire...
posta 06.12.2016 - 10:46
2
risposte

È possibile attivare il pulsante Indietro se utilizziamo un token CSRF per richiesta?

Dobbiamo compromettere la navigazione del pulsante Indietro se usiamo un token CSRF per richiesta invece di un token per sessione? (Ho avuto successo nell'utilizzare un token per sessione senza problemi di navigazione ma non sono riuscito a f...
posta 14.06.2016 - 06:56
2
risposte

Come classificare le vulnerabilità Web in un report?

Che cosa è un buon modo per classificare le vulnerabilità nei report sulla sicurezza IT. Supponendo che si tratti di ambienti basati sul web come: Siti Web, Applicazioni Web, Negozi web, Qualsiasi interfaccia che utilizza la tecnologia...
posta 19.06.2016 - 00:40
1
risposta

Quali altre vulnerabilità oltre alla directory traversal rientrano in IDOR?

La vulnerabilità più comune nella categoria OWASP Riferimento all'oggetto diretto non sicuro è l'attraversamento di directory. Quali sono le altre vulnerabilità che rientrano in questa categoria?     
posta 07.01.2017 - 08:11
1
risposta

Identifica le e-mail registrate in un'applicazione web online

Stiamo sviluppando un'applicazione web in cui gli utenti possono registrarsi utilizzando il loro indirizzo e-mail. Durante il processo di login, avevamo un messaggio di errore "email non registrata". Poiché è necessario mantenere la privacy dei...
posta 18.01.2017 - 02:14
2
risposte

È brutto se la chiave di sessione viene passata in formato testo nell'URL?

In una classe ci è stato detto che è pericoloso inserire la chiave di sessione nell'URL perché potrebbe essere memorizzata nella cache, dal browser o da un proxy, ecc. È corretto? Anche se è stato memorizzato nella cache, la chiave di sessione n...
posta 03.04.2016 - 06:31
1
risposta

Quale server è responsabile della "sicurezza" quando ASP.NET Core Kestrel è ospitato dietro IIS?

Voglio capire come funziona il flusso tra IIS e Kestrel per quanto riguarda la sicurezza. Sembra che l'integrazione tra IIS e Kestrel sia che IIS invia semplicemente tutto ciò che riceve a Kestrel, sia esso una richiesta HTTP valida o meno. IIS...
posta 21.10.2016 - 10:13
3
risposte

Dovrebbe essere possibile in un buon software, utilizzando un link "Cambia password" per un singolo utente, cercare di indovinare le password per ogni utente di un'applicazione?

Sto litigando con il "Security Expert" della mia squadra su questa domanda di base e ho bisogno di aiuto per ottenere un valido argomento / i valido / i. Il pretesto è il seguente: Dovrebbe essere possibile / valido cercare di indovinare / pa...
posta 02.02.2016 - 14:03